Дипфейки становятся привычной частью новостей: мир уже не раз обсуждал действия мошенников-вымогателей, которые используют сгенерированные изображения, голоса и видеозаписи. Жертвами становятся те, кто на виду: крупные компании, звезды, политики. Наша общая незащищенность от лжи — один из самых главных рисков развития искусственного интеллекта, считает футуролог Мартин Форд. Об этом он пишет в одной из глав книги «Власть роботов. Как подготовиться к неизбежному».
Дипфейки часто создаются с помощью инновации в области глубокого обучения, так называемой генеративно-состязательной сети (generative adversarial network, GAN). GAN вовлекает две конкурирующие нейронные сети в своего рода игру, которая непрерывно побуждает систему создавать все более качественную медийную имитацию. Например, GAN, созданная с целью подделки фотографий, должна состоять из двух интегрированных глубоких нейронных сетей. Первая, «генератор», фабрикует изображения. Вторая, обученная на комплексе реальных фотографий, называется «дискриминатор». Изображения, созданные генератором, перемешиваются с настоящими фотографиями и предоставляются дискриминатору. Две сети непрерывно взаимодействуют, участвуя в состязании, где дискриминатор оценивает каждую фотографию, созданную генератором, и решает, реальная она или поддельная. Задача генератора — обмануть дискриминатор, подсунув фальшивые фотоснимки. В процессе соревнования сетей, по очереди совершающих ходы, качество изображений растет, пока наконец система не достигнет равновесия, при котором дискриминатору остается лишь гадать, является ли анализируемое изображение настоящим. Этим методом можно получить невероятно впечатляющие сфабрикованные изображения. Введите в интернете запрос «фейковые лица GAN» и получите бесчисленные примеры изображений никогда не существовавших людей в высоком разрешении. Попробуйте поставить себя на место сети-дискриминатора. Фотографии выглядят совершенно реальными, но это иллюзия — изображение, возникшее из цифрового эфира.
Генеративно-состязательные сети были изобретены аспирантом Монреальского университета Яном Гудфеллоу. Как-то вечером в 2014 году Гудфеллоу с приятелем сидел в баре и рассуждал о том, как создать систему глубокого обучения, способную генерировать высококачественные изображения. […] Гудфеллоу предложил концепцию генеративно-состязательной сети, встреченную крайне скептически. Вернувшись домой, он сразу же сел писать код. Через несколько часов у него была первая работоспособная GAN. Это достижение впоследствии сделало Гудфеллоу одной из легенд в области сетей глубокого обучения.
У генеративно-состязательных сетей есть множество полезных применений. В частности, синтезированные изображения или другие медиафайлы можно использовать как обучающие данные для других систем. Например, на изображениях, созданных с помощью GAN, можно обучать глубокие нейронные сети беспилотных автомобилей. Предлагалось также использовать сгенерированные лица небелых людей для обучения систем распознавания лиц, решив таким образом проблему расовой предвзятости в случаях, когда невозможно этичным образом получить достаточное количество высококачественных фотографий реальных цветных людей. Что касается синтеза голоса, то GAN могут дать людям, утратившим дар речи, сгенерированную компьютером замену, которая звучит так же, как звучал их реальный голос. Известным примером является ныне покойный Стивен Хокинг, утративший возможность разговаривать из-за бокового амиотрофического синдрома, или болезни Лу Герига, и «говоривший» характерным синтезированным голосом. В последнее время страдающие этим заболеванием, например игрок НФЛ Тим Шоу, получили возможность говорить собственным голосом, восстановленным сетями глубокого обучения, которые были обучены на записях, сделанных до болезни.
Однако потенциал злоупотребления этой технологией существует и очень соблазнителен для многих технически подкованных индивидов. Подтверждения уже имеются, например доступные широкой аудитории фейковые видеоклипы, созданные в шутку или с образовательными целями. Можно найти множество фейковых видео с «участием» знаменитостей вроде Марка Цукерберга, которые говорят такое, что они вряд ли сказали бы, по крайней мере публично.
Самый распространенный метод создания дипфейков заключается в цифровом переносе лица одного человека в реальную видеозапись другого. По данным стартапа Sensity (бывший Deeptrace), создающего инструменты распознавания дипфейков, в 2019 году в интернет было выложено не менее 15000 дипфейков, что на 84% больше, чем в предыдущем году. Из них 96% представляли собой порнографические изображения знаменитостей или видео, в которых лицо звезды — почти всегда женщины — совмещено с телом порноактрисы. Главными объектами стали такие звезды, как Тейлор Свифт и Скарлетт Йоханссон, но когда-нибудь жертвой цифрового абьюза может стать практически каждый, особенно если технология усовершенствуется и инструменты создания дипфейков станут более доступными и простыми для применения.
Качество дипфейков постоянно растет, и угроза того, что сфабрикованные аудио или видео станут по-настоящему разрушительными, кажется неизбежной. […] Внушающий доверие дипфейк способен буквально изменить ход истории, а средства создания подобных подделок скоро могут оказаться в руках политтехнологов, иностранных правительств или даже подростков, любящих похулиганить. Беспокоить это должно не только политиков и знаменитостей. В эпоху вирусных видео, кампаний шельмования в соцсетях и «культуры исключения» практически каждый может стать объектом дипфейка, грозящего разрушить карьеру и жизнь. Мы уже знаем, что вирусные видео, запечатлевшие жестокость полиции, могут почти мгновенно вызывать массовые протесты и социальные волнения. Совершенно нельзя исключать то, что в будущем можно будет синтезировать — например, силами иностранной разведывательной службы — настолько провокационное видео, что оно станет угрозой для самого общественного устройства.
Помимо целенаправленного подрыва и разрушения открываются практически неограниченные противозаконные возможности для желающих попросту заработать. Преступники охотно будут пользоваться этой технологией для самых разных целей, от мошенничеств с финансами и страховкой до манипулирования рынком ценных бумаг. Видео, в котором генеральный директор делает ложное заявление или, например, странно себя ведет, грозит обрушить акции компании. Дипфейки создадут помехи для работы правовой системы. Сфабрикованные медийные материалы можно будет предъявлять как доказательства, вследствие чего судьи и присяжные рискуют однажды оказаться в мире, где трудно или даже невозможно понять, правда ли то, что они видят собственными глазами.
Разумеется, над решениями этих проблем работают умные люди. Например, компания Sensity поставляет программное обеспечение, по ее словам способное распознавать большинство дипфейков. Однако технология не стоит на месте, что делает неизбежной «гонку вооружений» наподобие той, что идет между создателями компьютерных вирусов и компаниями, продающими программы для защиты от них. В этой гонке у злоумышленников постоянно будет пусть минимальное, но преимущество. По словам Яна Гудфеллоу, он не смог бы определить, является ли изображение реальным или фейковым, только «рассматривая пиксели». В конечном счете нам придется полагаться на механизмы аутентификации, например киберподписи к фотографиям и видео. Может быть, когда- нибудь каждая видеокамера и каждый мобильный телефон будут добавлять цифровую подпись в каждую запись. Один стартап, Truepic, уже предлагает приложение, поддерживающее эту функцию. В число его клиентов входят крупнейшие страховые компании, которые по присылаемым клиентами фотографиям оценивают все что угодно, от зданий до ювелирных изделий и дорогих вещиц. Тем не менее, по мнению Гудфеллоу, это в конце концов не станет полноценным технологическим решением проблемы дипфейков. Нам придется каким-то образом научиться ориентироваться в новой беспрецедентной реальности, где все, что мы видим и слышим, может оказаться иллюзией.
Дипфейки призваны вводить людей в заблуждение. С этой проблемой связана другая — злонамеренное фабрикование данных, призванных обмануть или подчинить алгоритмы машинного обучения. В ходе таких «состязательных атак» специально созданная входная информация заставляет систему машинного обучения совершать ошибку, позволяя атакующему добиться желаемого результата. В случае машинного зрения в картину помещают какой-то предмет, искажающий ее интерпретацию нейросетью. Известен случай, когда исследователи брали фотографию панды, идентифицируемую системой глубокого обучения правильно с уверенностью 58%, добавляли тщательно сконструированный визуальный шум и заставляли систему с уверенностью 99% принимать ее за гиббона. В ходе особенно пугающей демонстрации обнаружилось, что добавлением к знаку «Движение без остановки запрещено» всего лишь четырех маленьких прямоугольных черно-белых наклеек можно внушить системе беспилотных автомобилей, что это знак, ограничивающий скорость 45 милями в час. Иными словами, состязательная атака может иметь смертельные последствия. В обоих приведенных примерах человек просто не обратил бы внимания на сбивающую с толку информацию и, безусловно, не был бы обманут. На мой взгляд, это самая яркая демонстрация того, насколько поверхностным и хрупким являются представления, формирующиеся в современных глубоких нейросетях.
Сообщество исследователей ИИ серьезно относится к состязательным атакам и считает их критической уязвимостью. Ян Гудфеллоу посвятил значительную часть своей исследовательской карьеры вопросам безопасности использования систем машинного обучения и созданию способов защиты. Сконструировать системы ИИ, неуязвимые для состязательных атак, непросто. В одном из подходов применяется так называемое соревновательное обучение, при котором в обучающие выборки специально включают состязательные примеры в надежде, что нейросеть сможет идентифицировать атаки. Однако, как и в случае дипфейков, здесь почти неизбежна постоянная гонка вооружений, в которой атакующие всегда будут на шаг впереди. Как отмечает Гудфеллоу: «Никто еще не создал по-настоящему мощный алгоритм защиты, способный противостоять разнообразным атакующим алгоритмам на основе состязательности».
Хотя состязательные атаки касаются исключительно систем машинного обучения, они станут очень серьезной проблемой в списке компьютерных уязвимостей, которыми смогут воспользоваться киберпреступники, хакеры или иностранные разведывательные службы. Поскольку искусственный интеллект применяется все шире, а интернет вещей усиливает взаимосвязь устройств, машин и инфраструктуры, вопросы безопасности становятся намного более значимыми с точки зрения последствий, а кибератаки наверняка участятся. Более широкое применение ИИ неизбежно вызовет появление более автономных систем с меньшим участием людей, которые станут привлекательными целями для кибератак. Представьте, например, ситуацию, когда продукты питания, лекарства и важнейшие расходные материалы доставляются беспилотными грузовиками. Атака, которая заставит эти транспортные средства остановиться или хотя бы создаст серьезные задержки в исполнении заказов, может иметь опасные для жизни последствия.
Из вышесказанного следует, что более широкая доступность и использование искусственного интеллекта будут сопряжены с системными рисками, в том числе угрозами важнейшим инфраструктурным объектам и системам, а также общественному порядку, нашей экономике и демократическим институтам. Я бы сказал, риски для безопасности — это в краткосрочной перспективе важнейшая угроза, связанная с развитием искусственного интеллекта. Поэтому абсолютно необходимо вкладывать средства в исследования, направленные на создание надежных ИИ-систем, и формировать действенную коалицию центральных властей и коммерческого сектора с целью выработки мер регулирования и защиты еще до появления критических уязвимостей.
Подробнее о книге «Власть роботов. Как подготовиться к неизбежному» читайте в базе «Идеономики».