Deepfake и как с ним бороться
Технологии, профессионально обманывающие человеческое восприятие, широко применяются в разных сферах. К примеру, В Южной Корее кандидата в президенты продвигают с помощью дипфейка. Что такое deepfake и опасен ли он на самом деле нам рассказал Александро Паркин, руководитель исследовательских проектов VisionLabs.
Не верь глазам своим, компьютер
Термин deepfake — от deep learning («глубокое обучение») и fake («подделка») — употребляется достаточно широко и обозначает практически любое изменение цифровых медиаданных с целью ввести в заблуждение компьютерную систему распознавания образов или живого наблюдателя. Например, вместо одного лица «приставить» к фигуре человека на видео другое (это называется Face Swap, замена лица), или же вместо довольной улыбки правдоподобно изобразить гримасу негодования (Face Reenactment, замена выражения лица).
Помимо deepfake, есть два основных вектора атак систем распознавания: на вычислительные алгоритмы и на сами камеры. К первому типу относятся Adversarial-атаки — тщательным образом подготовленные изменения входных данных, результатом которых становится выдача нейронной сетью ошибочного решения; скажем, когда изображение черепашки, для человека совершенно однозначное, машиной воспринимается как гоночный автомобиль. Атака «на камеру», пик популярности которой пришёлся на первые годы широкого распространения систем распознавания лиц это Liveness, подмена живого лица перед камерой его искусственным подобием — распечатанным на бумаге фото, портретным снимком на экране планшета, правдоподобно раскрашенной и напечатанной на 3D-принтере маской.
К счастью, современные системы распознавания уже неплохо умеют противостоять Liveness-атакам на уровне алгоритмов. Производится детальный анализ картинки в поисках особых признаков: для распечатанного фото это может быть обрез бумажного листа, для картинки на планшете — радужные блики от внешних источников света на ЖК-матрице и т. п. Стоящего перед камерой человека можно попросить покачать головой вверх-вниз, повернуться в разные стороны, чтобы повысить достоверность отождествления и заодно удостовериться, что «подмены лица» здесь нет.
Ситуация несколько сложнее, если вычислительный модуль системы распознавания и камера не совмещены в одном корпусе (как у iPhone в случае Face ID или у системы Face Pay в Московском метрополитене), а взаимодействуют через Интернет. К примеру, человек в ходе Zoom-конференции с сотрудником банка оформляет кредит, и необходимо удостовериться тот ли он, за кого себя выдаёт и чьи документы предъявляет. Здесь уже возникает опасность перехвата трафика: злоумышленник имитирует на ПК изображение с виртуальной камеры, заменяя собственное