研究人员表明,可以通过在每个视频帧中插入称为对抗样本的输入来击败检测器。对抗性的一个例子是轻微操纵的输入,它会导致人工智能系统(例如机器学习模型)出错。此外,研究团队还发现,即使在视频被压缩后,攻击仍然有效。加州大学圣地亚哥分校计算机工程博士生ShehzeenHussain说:“我们的研究表明,对Deepfake检测器的攻击可能是现实世界的威胁,更令人震惊的是,我们表明即使不知道检测器使用什么内部机器学习模型的工作原理也使得创建非常强大的对抗性示例成为可能。在深度伪造中,主体的面部被改变以创建真实事件的令人信服的镜头,但实际上从未发生过。因此,典型的深度伪造检测器将专注于视频中的面部:首先跟踪它,然后将裁剪的人脸数据传递给神经网络,神经网络将判断这些人脸是真实的还是假的。例如,眨眼在deepfakes中不能很好地复制,因此检测器专注于眼球运动作为一种方式识别假货。最先进的“deepfakes检测器”依靠机器学习模型来识别假视频。研究人员指出,假视频在社交媒体平台上的广泛传播s是世界范围内的一个主要问题,尤其是影响媒体的可信度。“如果攻击者对检测系统有一些了解,他们可以设计输入信号来瞄准检测器的盲点并绕过它,”加州大学圣地亚哥分校计算机科学专业的学生和该论文的另一位合著者帕斯卡说。帕斯尼卡拉说。研究人员为视频帧中的每张脸创建了一个对抗样本。但是,虽然标准操作(例如视频压缩和调整大小)通常会从图像中删除对抗性示例,但这些示例是为承受这些过程而构建的。攻击算法通过估计一组输入转换来实现这一点,模型将图像分类为真实或虚假。从那里,它使用这个估计来转换图像,使得对抗图像即使在压缩和解压缩之后仍然有效。XceptionNet是一种deepfake检测器,可将研究人员制作的对抗视频标记为真实。面部的修改版本被插入到所有视频帧中,并对视频中的所有帧重复该过程以创建deepfake视频。这种攻击也可以应用于对整个视频帧进行操作的检测器,而不仅仅是面部。高成功率研究人员在两种情况下测试了他们的攻击:一种情况是攻击者可以完全访问检测器模型,包括人脸提取管道和分类模型的结构和参数;另一种场景,攻击者只能查询一个机器学习模型来计算一个帧被分类为真实或虚假的概率。在第一种情况下,对未压缩视频的攻击成功率超过99%。对于压缩视频,这个比例是84.96%。在第二种情况下,未压缩视频的攻击成功率为86.43%,压缩视频为78.33%。这是第一个证明对最先进的deepfake检测器进行成功攻击的作品。研究人员表示:“为了在实践中使用这些deepfake检测器,我们认为有必要针对了解这些防御并故意试图打败它们的自适应对手来评估这些检测器。”如果对手对检测器有全部甚至部分了解,则可以轻松绕过当前最先进的deepfake检测方法。”为了改进检测器,研究人员还推荐了一种类似于对抗训练的方法:在训练过程中,自适应对手不断生成新的deepfake结果,可以绕过当前最先进的检测器;为了检测新的deepfake结果,检测器不断改进。
