[ad_1]
A medida que entramos en una nueva era en la que las tecnologías basadas en inteligencia artificial pueden crear y manipular imágenes con una precisión que borra la línea entre la realidad y lo falso, el espectro del abuso está siempre presente. Más recientemente, modelos generativos avanzados como DALL-E y Midjourney, conocidos por su impresionante precisión e interfaces fáciles de usar, han permitido la producción de imágenes hiperrealistas con relativa facilidad. Debido a que las barreras de entrada se reducen, incluso los usuarios sin experiencia pueden generar y editar imágenes de alta calidad a partir de simples descripciones de texto, desde ajustes de imagen inofensivos hasta modificaciones maliciosas. Técnicas como la marca de agua ofrecen una solución prometedora, pero el mal uso requiere acciones preventivas (en lugar de acciones posteriores).
Para crear una medida tan nueva, investigadores del Laboratorio de Ciencias de la Computación e Inteligencia Artificial (CSAIL) del MIT desarrollaron PhotoGuard, una técnica que explota las perturbaciones: pequeños cambios en los valores de los píxeles que son invisibles para el ojo humano pero detectables por modelos de computadora. interfiere con la capacidad del modelo para manipular la imagen.
PhotoGuard utiliza dos «métodos de ataque» diferentes para crear estos fallos. El ataque «Codificador» más simple tiene como objetivo la representación latente de la imagen en el modelo de IA, lo que hace que el modelo perciba la imagen como una entidad aleatoria. La «Difusión» más sofisticada define una imagen objetivo y optimiza el ruido para que la imagen final sea lo más similar posible al objetivo.
“Consideremos la posibilidad de una difusión fraudulenta de eventos catastróficos falsos, como una explosión en un lugar importante. Este engaño puede manipular las tendencias del mercado y el sentimiento público, pero los riesgos no se limitan al espacio público. Las imágenes personales pueden alterarse de manera inapropiada y usarse para extorsión, lo que en el caso de delitos a gran escala puede tener consecuencias financieras significativas”, dijo Hadi Salman, estudiante graduado del MIT en Ingeniería Eléctrica y Ciencias de la Computación (EECS), afiliado del MIT CSAIL y Autor principal de un nuevo artículo sobre PhotoGuard.
“En escenarios más extremos, estos modelos podrían simular voces e imágenes para simular crímenes y causar angustia psicológica y pérdidas financieras. La velocidad de estas medidas agrava el problema. Incluso si finalmente se descubre el engaño, el daño (ya sea reputacional, emocional o financiero) a menudo ya se ha producido. Esta es una realidad para las víctimas en todos los niveles, desde los individuos que sufren acoso en la escuela hasta la manipulación en toda la sociedad”.
FotoGuard en la práctica
Los modelos de IA ven una imagen de manera diferente a los humanos. Ve una imagen como un conjunto complejo de puntos de datos matemáticos que describen el color y la ubicación de cada píxel; esta es la representación latente de la imagen. El ataque del codificador realiza ajustes sutiles en esta representación matemática, lo que permite que el modelo de IA perciba la imagen como una entidad aleatoria. Esto hace que cualquier intento de manipular la imagen utilizando el modelo sea casi imposible. Los cambios realizados son tan pequeños que resultan invisibles para el ojo humano, preservando la integridad visual de la imagen y garantizando al mismo tiempo su protección.
El segundo ataque, mucho más complejo, «Difusión», apunta estratégicamente a todo el modelo de Difusión, de principio a fin. Se determina una imagen objetivo deseada y luego se inicia un proceso de optimización con el objetivo de alinear la imagen generada con precisión con este objetivo preseleccionado.
Durante la implementación, el equipo creó ruido en el espacio de entrada de la imagen original. Luego, estas perturbaciones se utilizan en la fase de inferencia y se aplican a las imágenes, proporcionando una protección sólida contra manipulaciones no autorizadas.
«Los avances en IA que estamos presenciando son realmente sorprendentes, pero permiten usos tanto beneficiosos como maliciosos de la IA», afirma Aleksander Madry, profesor de EECS en el MIT e investigador principal del CSAIL, que también es el autor del artículo. “Por lo tanto, es imperativo que trabajemos para identificar y mitigar estos últimos. Veo PhotoGuard como nuestra pequeña contribución a este importante esfuerzo”.
El ataque de difusión es más intensivo desde el punto de vista computacional que su hermano más simple y requiere una cantidad significativa de memoria GPU. El equipo dice que aproximar el proceso de difusión con menos pasos mitiga el problema, haciendo así que la técnica sea más práctica.
Por ejemplo, para ilustrar mejor el ataque, piense en un proyecto de arte. La imagen original es un dibujo y la imagen de destino es otro dibujo completamente diferente. El ataque de difusión es como hacer cambios pequeños e invisibles en el primer dibujo para que empiece a parecerse al segundo dibujo de un modelo de IA. Sin embargo, para el ojo humano el dibujo original permanece inalterado.
De esta manera, cualquier modelo de IA que intente cambiar la imagen original realizará cambios sin darse cuenta como si fuera la imagen de destino, protegiendo así la imagen original de la manipulación intencional. El resultado es una imagen visualmente inalterada para el espectador humano pero protegida de ediciones no autorizadas por parte de modelos de IA.
Como ejemplo de la vida real, considere una imagen con varias caras usando PhotoGuard. Puedes enmascarar cualquier cara que no quieras cambiar y luego escribir «Dos hombres asisten a una boda». Una vez enviada, el sistema ajusta la imagen en consecuencia, creando una representación plausible de dos hombres asistiendo a una ceremonia de boda.
Ahora considere proteger la imagen de la edición. Agregar ruido a la imagen antes de cargarla puede inmunizarla contra los cambios. En este caso, el resultado final no será realista en comparación con la imagen original no inmunizada.
Todas las manos en el mazo
El equipo dice que los creadores de los modelos de procesamiento de imágenes son aliados importantes en la lucha contra la manipulación de imágenes. Para que PhotoGuard sea eficaz, se requiere una respuesta integrada de todas las partes interesadas. «Los responsables de la formulación de políticas deberían considerar la posibilidad de introducir regulaciones que exijan a las empresas proteger los datos de los usuarios de dicha manipulación. Los desarrolladores de estos modelos de IA podrían diseñar API que automáticamente agreguen ruido a las imágenes de los usuarios, proporcionando una capa adicional de protección contra ediciones no autorizadas», dice Salman.
A pesar de la promesa de PhotoGuard, no es una panacea. Una vez que una imagen está en línea, personas con intenciones maliciosas podrían intentar aplicar ingeniería inversa a las protecciones haciendo ruido, recortando o rotando la imagen. Sin embargo, hay muchos trabajos previos en la literatura sobre ejemplos contradictorios que pueden usarse aquí para implementar perturbaciones robustas que resistan manipulaciones de imágenes comunes.
“Un enfoque colaborativo entre desarrolladores de modelos, plataformas de redes sociales y responsables políticos proporciona una protección sólida contra la manipulación de imágenes no autorizada. Trabajar en esta cuestión apremiante es hoy de suma importancia”, afirma Salman. “Y aunque estoy feliz de contribuir a esta solución, todavía queda mucho trabajo por hacer para poner esta protección en práctica. Las empresas que desarrollan estos modelos deben invertir en el desarrollo de inmunizaciones sólidas contra las posibles amenazas que plantean estas herramientas de IA. A medida que avanzamos hacia esta nueva era de modelos generativos, nos esforzamos por lograr potencial y protección en igual medida”.
«La perspectiva de utilizar ataques al aprendizaje automático para protegernos del uso indebido de esta tecnología es muy convincente», afirma Florian Tramèr, profesor asistente en ETH Zurich. «El documento contiene una interesante idea de que los desarrolladores de modelos de IA generativa tienen fuertes incentivos para ofrecer a sus usuarios dicha protección vacunal, que incluso podría ser exigida por ley en el futuro». Problema desafiante: una vez que la empresa de IA generativa se comprometa con un mecanismo de inmunización y la gente comienza a aplicarla a sus imágenes en línea, debemos asegurarnos de que esta protección funcione contra adversarios motivados que podrían incluso utilizar mejores modelos de IA generativa, que se desarrollarán en un futuro próximo. Desarrollar protecciones tan sólidas es un problema difícil de resolver, y este documento presenta argumentos convincentes para que las empresas de IA generativa deberían trabajar para encontrar una solución”.
Salman coescribió el artículo con sus compañeros autores principales Alaa Khaddaj y Guillaume Leclerc MS ’18 y Andrew Ilyas ’18, MEng ’18; Los tres son estudiantes de doctorado de EECS y miembros de MIT CSAIL. El trabajo del equipo se realizó en parte en el clúster informático Supercloud del MIT, con el apoyo de subvenciones de la Fundación Nacional de Ciencias de EE. UU. y Open Philanthropy, y se basó en el trabajo respaldado por la Agencia de Proyectos de Investigación Avanzada de Defensa de EE. UU. Se presentó en la Conferencia Internacional sobre Aprendizaje Automático en julio de este año.
[ad_2]