Российские ученые разрабатывают невидимые метки для дипфейков

Справка:

Дипфейк – подделка цифрового контента при помощи искусственного интеллекта. Слово образовано от английского deep learning — метод глубокого обучения, который лежит в основе технологии, и fake — подделка.

Конечно, шутливые ролики про президентов или, к примеру, использование персонажа популярного фильма Жоржа Милославского (в исполнении Леонида Куравлева) в рекламе банка – это безобидный контент, даже, я бы сказала, своеобразная реклама политиков или актеров, так как подается в весьма доброжелательном свете. Гораздо хуже, когда видеоизображения известных лиц используют злоумышленники, например, для создания компрометирующих видео, где известные люди говорят или делают то, чего никогда не делали, а именно предстают в неподобающем виде, просят знакомых перевести крупные суммы денег, убеждают за кого-то проголосовать.

Гражданам давно советуют быть более бдительными и не вестись на ложные ролики, выявляя подделки по ряду ключевых признаков. Это нечёткое или смазанное изображение лица на видео при более высоком качестве остального изображения, увеличение частоты морганий, неестественное движение бровей или губ, не совпадающее с темпом звучащей речи.

Но и специалисты по дипфейкам не дремлют, а совершенствуют свои технологии, к тому же, кроме видео известных персонажей, в Сети появляются сгенерированные голоса актеров, которые не давали своего разрешения на их использование, картины, которые люди выдают за свои произведения, дипломные работы и научные труды, наконец. Все это потребовало внедрения в ведущих странах маркировки контента, созданного при помощи ИИ. Процесс начался еще с прошлого года, но в нашей стране пока только готовятся к принятию соответствующего закона.

Впрочем, как мне видится, принятию закона должна предшествовать разработка технологии нанесения на сгенерированный контент особых меток или водяных знаков.

На днях о том, что в России активно разрабатывается эта технология, заявил академик РАН, доктор физико-математических наук Арутюн Аветисян. По его словам, уже создается технология маркирования сгенерированного контента, основанная на совместной работе Института системного программирования им. В.П. Иванникова РАН и Математического института им. Стеклова РАН.

– Что же будут представлять собой эти метки? – спрашиваю я руководителя направления применения водяных знаков для решения задач кибербезопасности ИСП РАН Юрия Маркина.

— Начну с того, что метки (или водяные знаки) могут быть двух типов: заметные пользователю и незаметные. Заметные водяные знаки – это просто видимая надпись на изображении, оповещающая, что этот контент (видео или картинка) сгенерированы ИИ. Незаметные водяные знаки (это как раз то, что разрабатываем мы) не видны пользователю контента. Внедрение водяного знака в цифровое изображение, например картину, означает модификацию его пикселей при помощи математических алгоритмов, причем эта модификация визуально незаметна.

Обычные пользователи, как правило, навыками распознавания скрытых водяных знаков не обладают. Это может сделать только тот, кто знает, какой именно алгоритм и какие параметры внедрения водяного знака использовались.

Если сервис ИИ, который пишет диплом за студента, внедряет в этот диплом водяной знак, содержащий скрытую информацию, например слова — «Сгенерировано нейросетью», то распознать его сможет специальный алгоритм извлечения водяного знака. На выходе получатся те же слова — «Сгенерировано нейросетью». Если же диплом написан честно, то при попытке извлечь водяной знак система выдаст информацию о том, что ИИ свою «руку» к этому продукту не прикладывал.

Считаю, что на уровне как минимум страны должен появиться сервис для проверки источников происхождения контента. Если говорить о примере с преподавателем, то для проверки дипломной работы на предмет использования ИИ будет достаточно загрузить текст в такой сервис.

– И этот сервис сразу выдаст информацию о том, что труд был написан (или не написан) нейросетью, и какой именно?

– Технологически это вполне реализуемо. А юридически – мне сказать сложно. Считаю, что если в РФ появятся соответствующие законодательные акты на этот счет, то разработчик сервиса будет обязан предъявить доказательство о нечестно выполненной студентом работе.

– Другой пример. Если недобросовестный пользователь скачивает ролик с сайта федерального канала, меняет в нем лицо президента одной страны на лицо президента другой страны, этот дипфейк тоже можно будет распознать?

– Да, если в ролик, который скачивается, внедрен водяной знак, то при замене лиц его структура (структура водяного знака) при проверке будет нарушена. Отмечу, что, как правило, оригинальные ролики, на основе которых подготавливаются дипфейки, создаются не с помощью ИИ – это может быть репортаж федерального канала, и здесь мы говорим уже о применении водяных знаков для обеспечения контроля целостности оригинального контента. То есть невидимые водяные знаки могут устанавливаться как на ИИ-сгенерированный контент, так и на оригинальный контент.

– А когда речь идет о маркировке подделки голоса, речь идет об алгоритме, меняющем звучание?

– Да, водяной знак для аудио при проверке меняет звучание. Но опять же, выявить это могут только специальные алгоритмы. На слух пользователь не заметит присутствия водяного знака.

– На каком этапе находится процесс разработки вами отечественных водяных знаков для медиаконтента?

– Научным сообществом создано большое количество различных методов создания и внедрения водяных знаков. И наши технологические компании могут начать внедрять водяные знаки в самое ближайшее время. Надо только определиться со стратегией внедрения: за основу можно выбрать внедрение водяных знаков в контент прямо во время его создания или накладывать их на уже искусственно сгенерированное изображение. Первый подход более универсален с технологической точки зрения, второй – с организационной.

– А как насчет принятия закона о внедрении видимых или невидимых меток на продукты нейросети, без которого они будут бесполезны для широкого использования?

– В ряде стран, как известно, уже приняты законодательные инициативы, направленные на регулирование данного вопроса. Так, в феврале 2024 года в США был принят закон, обязывающий компании, предоставляющие генеративные ИИ-сервисы, внедрять водяные знаки в синтезируемый контент. Аналогичные законопроекты, также в 2024-м, появились в странах ЕС и странах G7.

Там, где законы такие пока не приняты, включая Россию, пока до конца непонятно, насколько жестким должно быть законодательство. Чрезмерное регулирование отрасли может замедлить развитие сферы, поэтому законодательные органы не спешат с конкретными мерами. Однако всем уже очевидна необходимость регулировать деятельность технологических компаний, занимающихся разработкой ИИ-решений, генерирующих контент. Бесконтрольное развитие и распространение данных решений может повлечь серьезные социальные последствия. Уже сейчас наблюдается резкий рост числа случаев мошенничества с использованием ИИ, поэтому, надеюсь, что в ближайшем будущем законы, регулирующие генеративные модели, появятся и в России. Вопрос доверия контенту на сегодняшний день является критическим.