Исследователи из Университета Сунгюнкван (Сувон, Южная Корея) представили deepfake методы, которые могут стабильно обманывать алгоритмы биометрической идентификации по лицу.
В статье исследователей «Я настоящая или фальшивая знаменитость?» Рассматриваются атаки на коммерческие веб-сервисы распознавания лиц от Microsoft, Amazon и Naver для идентификации знаменитостей с использованием дипфейка. Исследователи Шахроз Тарик, Совон Чон и Саймон С. Ву утверждают, что атаки можно легко распространить на людей, не являющихся знаменитостями.
Исследователи предприняли целевые атаки, чтобы алгоритм ошибочно идентифицировал представление как конкретную знаменитость, и нецелевые атаки, чтобы он ошибочно идентифицировал изображение как любую знаменитость. Совершая ошибки, биометрические алгоритмы возвращали высокие оценки достоверности, в некоторых случаях даже выше, чем у реального изображения.
Три общедоступных набора данных и два пользовательских набора, созданные исследователями, были использованы для подготовки в общей сложности 8119 дипфейков.
Исследователи обнаружили, что некоторые методы атаки более успешнее, чем другие, и каждая система биометрического сопоставления по-разному реагирует на дипфейки.
Изображения, взятые из набора данных VoxCelebTH, API Azure Cognitive Services от Microsoft идентифицировал 78% глубоких подделок, представленных исследователями в качестве целевой знаменитости, в то время как Amazon не соответствовал 68,7% отправленных изображений. Общие показатели успешности атак по пяти наборам данных, использованным в тесте, составили 28% для Amazon, 33,1% для Microsoft и 4,7% для Naver, но упали до менее 4%, 5% и 1% соответственно, когда исследователи использовали предложенный метод защиты. Исследователи заявили, что «среди трех API-интерфейсов нет явного победителя» с точки зрения устойчивости к подделке.
Предложенный исследователями метод защиты от атак подражания deepfake применяет готовые детекторы deepfake к биометрическому API. Они планируют создать REST API для просмотра входящих запросов к API распознавания лиц знаменитостей.
«Предлагаемый метод защиты может дать отличные результаты. И, в некоторой степени, это может быть эффективный защитный механизм. Однако эти готовые модели могут не быть оптимальными для каждой атаки DI, а ложные срабатывания могут сыграть решающую роль в увеличении успешности атаки. Кроме того, из-за появления новых дипфейков существующие модели обнаружения не гарантированно работают против них. Следовательно, срочно требуется более общий и эффективный метод защиты от различных типов существующих и новых атак DI. И в этом направлении необходимы дополнительные исследования, касающиеся трансферного обучения, адаптации предметной области и мета-трансферного обучения, чтобы лучше справляться с новыми атаками DI».
Ранее в этом году, был представлен новый метод, способный победить детекторы дипфейка.
По материалам Biometrics Research Group. Автор Chris Burt