Nova técnica engana detectores de deepfake
Um método que usa movimentos de cabeça engana com sucesso sistemas de detecção de deepfake.
― 6 min ler
DeepFakes são vídeos alterados onde o rosto de alguém é trocado pelo de outra pessoa. Essa tecnologia levanta preocupações sobre a confiança na mídia digital porque pode ser mal utilizada para espalhar informações falsas. Embora existam ferramentas para detectar esses deepfakes, elas podem ser enganadas por táticas inteligentes. Este artigo discute um novo método que muda o ângulo do rosto de uma pessoa em uma imagem deepfake para enganar os detectores.
O Desafio da Detecção de Deepfakes
À medida que a tecnologia de deepfake avança, fica mais fácil criar Imagens e vídeos falsos realistas. O uso indevido desses fakes pode levar a problemas públicos significativos. Mesmo que existam muitos detectores disponíveis, eles podem ser fracos contra certos ataques que exploram suas falhas. Pesquisadores tentaram várias maneiras de testar esses detectores, mas a maioria dos métodos foca em alterar imagens de formas que nem sempre se conectam com ações da vida real.
Uma Nova Abordagem: Movimento de Cabeça Adversarial
Esse novo método envolve o que chamamos de "movimento de cabeça adversarial". Ele pega uma imagem falsa e cria diferentes visões baseadas em uma única foto de frente. Ao mostrar o rosto de vários ângulos, essa técnica pode enganar os detectores fazendo-os pensar que a imagem falsa é real.
Após muitos testes, foi descoberto que esse método consegue enganar diferentes detectores com sucesso. Em um caso, quase 97% das tentativas de enganar um detector de deepfake funcionaram usando essa abordagem. Quando foi permitido um questionamento extra, o número de passos necessários para conseguir isso caiu muito.
Por Que Esse Método é Diferente
A maioria dos métodos atuais foca em mudar imagens 2D. No entanto, "movimento de cabeça adversarial" usa um Modelo 3D para representar como um rosto parece de diferentes ângulos. Os conjuntos de dados de deepfake geralmente mostram rostos de frente, tornando essa técnica realista para chamadas de vídeo e outros cenários da vida real. Com uma única imagem, várias visões podem ser geradas, oferecendo novas maneiras de confundir os sistemas de detecção.
O Processo de Criação de Imagens Adversariais
O processo envolve várias etapas críticas:
Pré-processamento de Entrada: As imagens originais costumam vir de vídeos de baixa resolução. Para melhorar a qualidade, um modelo especial é usado para aprimorar essas imagens antes de qualquer outra alteração.
Síntese de Visão 3D: Depois de aprimorar a imagem, um modelo é utilizado para criar diferentes ângulos do rosto. Isso funciona projetando a imagem original em um espaço onde os ângulos podem ser ajustados.
Busca de Visão Adversarial: Finalmente, procuram-se visões específicas que possam causar confusão nos detectores. Duas metodologias são utilizadas: uma baseada em tentativas aleatórias para encontrar visões bem-sucedidas e outra que usa informações de gradiente, que ajuda a refinar a busca.
Testando o Método
Para determinar se esse novo método funciona, vários detectores de deepfake foram testados. A eficácia de cada detector foi medida pela capacidade de resposta a imagens alteradas com a técnica de movimento de cabeça adversarial. Os resultados mostraram que certos detectores, especialmente aqueles com boa precisão em outras áreas, eram particularmente vulneráveis a esse novo ataque.
À medida que a qualidade das imagens originais melhorava, ficava mais difícil enganar os detectores. Isso indica que clareza e detalhe nas imagens podem ajudar os sistemas de detecção a fazerem melhores julgamentos.
Eficiência da Abordagem
É importante considerar quão eficiente esse método é. O método de busca aleatória é simples, mas pode demorar mais para trazer resultados. Quando os gradientes do modelo foram usados, a busca por imagens adversariais se tornou mais eficiente, trazendo melhores resultados com menos tentativas.
Transferibilidade Entre Diferentes Modelos
Uma parte significativa dessa pesquisa analisou quão bem o ataque funcionou em diferentes modelos de detecção. Para aplicações práticas no mundo real, é comum que atacantes não tenham acesso ao funcionamento interno de um modelo. Nos testes, o método mostrou uma boa taxa de sucesso ao se mover de um tipo de detector para outro.
Isso significa que, mesmo que um modelo seja muito diferente de outro, as visões adversariais criadas ainda têm uma chance razoável de enganá-los.
Qualidade Visual das Imagens Adversariais
Um dos aspectos mais interessantes das imagens geradas por esse método é a aparência realista. Embora sejam tecnicamente alteradas para enganar os detectores, ainda parecem naturais. Essa qualidade é vital, já que os detectores são projetados para identificar imagens falsas com base em características não naturais.
Comparando com Outros Ataques
Quando comparado a métodos tradicionais de ataque como FGSM, BIM e CW, o método de movimento de cabeça adversarial teve um desempenho melhor em média entre vários detectores. Isso mostra que não é apenas uma opção um pouco melhor, mas significativamente mais eficaz em muitos casos, especialmente contra detectores de baixa qualidade.
Considerações Futuras
Há um risco claro de que esse novo método possa ser mal utilizado por quem quiser enganar os outros. No entanto, ao mostrar como ele funciona, há uma oportunidade para pesquisadores e desenvolvedores criarem defesas mais fortes para sistemas de detecção de deepfake.
Há uma necessidade de melhoria contínua nas tecnologias de detecção à medida que os métodos para criar deepfakes evoluem. Entender as fraquezas dos detectores atuais pode ajudar a moldar melhores sistemas que consigam resistir a ataques inteligentes.
Conclusão
O método de movimento de cabeça adversarial representa um passo significativo na batalha contínua entre a criação e a detecção de deepfakes. Ao manipular como vemos um rosto em uma imagem fraudulentamente alterada, essa técnica abre novas avenidas para a decepção.
À medida que a tecnologia deepfake continua a crescer, entender essas abordagens inovadoras é essencial para desenvolver técnicas de detecção mais eficazes. Com mais pesquisas e melhorias, há esperança de criar sistemas que possam proteger contra o uso indevido da mídia digital.
Título: Turn Fake into Real: Adversarial Head Turn Attacks Against Deepfake Detection
Resumo: Malicious use of deepfakes leads to serious public concerns and reduces people's trust in digital media. Although effective deepfake detectors have been proposed, they are substantially vulnerable to adversarial attacks. To evaluate the detector's robustness, recent studies have explored various attacks. However, all existing attacks are limited to 2D image perturbations, which are hard to translate into real-world facial changes. In this paper, we propose adversarial head turn (AdvHeat), the first attempt at 3D adversarial face views against deepfake detectors, based on face view synthesis from a single-view fake image. Extensive experiments validate the vulnerability of various detectors to AdvHeat in realistic, black-box scenarios. For example, AdvHeat based on a simple random search yields a high attack success rate of 96.8% with 360 searching steps. When additional query access is allowed, we can further reduce the step budget to 50. Additional analyses demonstrate that AdvHeat is better than conventional attacks on both the cross-detector transferability and robustness to defenses. The adversarial images generated by AdvHeat are also shown to have natural looks. Our code, including that for generating a multi-view dataset consisting of 360 synthetic views for each of 1000 IDs from FaceForensics++, is available at https://github.com/twowwj/AdvHeaT.
Autores: Weijie Wang, Zhengyu Zhao, Nicu Sebe, Bruno Lepri
Última atualização: 2023-09-03 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2309.01104
Fonte PDF: https://arxiv.org/pdf/2309.01104
Licença: https://creativecommons.org/licenses/by-nc-sa/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.
Ligações de referência
- https://media.icml.cc/Conferences/CVPR2023/cvpr2023-author_kit-v1_1-1.zip
- https://github.com/wacv-pcs/WACV-2023-Author-Kit
- https://github.com/MCG-NKU/CVPR_Template
- https://github.com/twowwj/AdvHeaT
- https://www.theverge.com/2022/5/18/23092964/deepfake-attack-facial-recognition-liveness-test-banks-sensity-report
- https://metaphysic.ai/to-uncover-a-deepfake-video-call-ask-the-caller-to-turn-sideways/
- https://github.com/wangjk666/PyDeepFakeDet