Поддельные изображения и видео представляют серьезную угрозу для биометрических систем, используемых для удаленной проверки личности, и, хотя существующие технологии живости могут их обнаружить, существует вектор атаки, который может лишить их этой возможности.
«Почему дипфейки не являются реальной проблемой для удаленной биометрии», — представила Анн-Кэтрин Фрайберг (Ann-Kathrin Freiberg) из BioID в последнем выступлении за обедом, представленном Европейской ассоциацией биометрии (EAB).
Более 250 участников из более чем 40 стран мира предварительно зарегистрировались для участия в презентации, многие из них активно участвовали в обсуждениях.
Происхождение термина, основанное на использовании глубокого обучения для манипулирования изображением, видео или аудиофайлом или их подделки, было рассмотрено, и Фрайберг поделилась несколькими примерами дипфейков, в том числе подделкой морфинга, созданной сотрудником BioID из бесплатного приложения, и одной изображение найдено в интернете.
Были даны некоторые основные советы по обнаружению дипфейковых видео, например, наблюдение за переходом между различными областями лица и головы, а также частота или отсутствие моргания. Симметрия, например, в цвете глаз или серьгах, также может выявить дипфейк.
Исследователь BioID изучил общедоступные приложения для создания дипфейков и обнаружил, что четыре из них в основном эффективны. Их возможности, предупреждает Фрайберг, хотя и далеки от совершенства, вполне достаточны, чтобы обмануть многих людей, которые не знают о концепции дипфейков и не подозревают о медиа-контенте, который они видят.
Глубокое погружение в дипфейки
Фрейберг рассказала о том, как создаются дипфейки, их истории и реальных последствиях.
Она объясняет, что вариационные автокодировщики обучаются чертам лица человека, используя исходные материалы, с большим количеством и лучшим качеством, что приводит к лучшей производительности, как и при обучении других биометрических систем и алгоритмов. Поменяв кодировщик и декодер двух людей, можно перенести черты одного на лицо другого.
Первое исследование дипфейков, описываемое в то время как «синтетическая анимация лиц», было опубликовано в 1997 году, но эта область получила широкое распространение только в 2014 году с появлением генеративно-состязательных сетей (GAN), которые позволяют создавать убедительные дипфейки. Высококачественное оборудование и профессиональные усилия позволяли уже к 2016 году создавать довольно убедительные дипфейки, а термин «дипфейк» появился на форуме Reddit, где обсуждались порнографические видео. Тема вошла в публичное обсуждение социальных проблем, таких как фейковые новости в 2018 году, а приложения для создания дипфейков из одного изображения появились в 2021 году.
На практике 96% дипфейкового контента — это порнография, сообщила Фрайберг. Поэтому опасности до сих пор в основном рассматривались на личном уровне, хотя существует также риск политизированной дезинформации, поскольку люди, как правило, менее критичны в принятии достоверности информации, которая соответствует их убеждениям.
Однако у дипфейков есть и потенциальные преимущества для развлечения, а также для решения более практических задач. Фрайберг отмечает дипфейковое видео, передающее информацию о здоровье знаменитости Брэда Питта на языках, на которых актер на самом деле не говорит, как пример такого рода дипфейкового приложения с потенциальной социальной пользой.
Последствия проверки биометрической личности
Рост дипфейков в контексте всё более широкого внедрения цифровой проверки личности, в том числе с помощью чатов с видеоагентами и биометрических селфи, делает определение биометрической живости ещё более важным.
Фрайберг спрашивает, могут ли биометрические системы обнаруживать дипфейки, и даёт тревожный ответ: распознавание лиц не всегда возможно.
Рассматривая стандарт обнаружения атак (PAD) ISO/IEC 30107-3, Фрейберг отмечает, что дипфейки не упоминаются среди рассматриваемых атак.
Однако методы, используемые системами PAD, такие как трехмерное движение и анализ текстур, могут обнаруживать дипфейки. Это связано с тем, что многие из них по сути представляют собой атаки с повторным воспроизведением видео, которые покрываются стандартом PAD.
«Всё хорошо, да? Презентация окончена и мы можем идти домой? Нет, это на самом деле не так. Когда речь идёт об удаленной проверке личности, существует более одного вектора атаки», — предупреждает Фрайберг. Причина в том, что другие векторы атак, а именно атаки на уровне приложений, при которых виртуальные камеры передают видео непосредственно в приложение, а не представляют его физической камере.
Хотя технология может помочь с предварительно записанными дипфейковыми инъекциями, Фрейберг говорит, что живые манипулируемые дипфейки по-прежнему очень трудно обнаружить. К счастью, их также трудно осуществить.
Обнаружение моргания, экспертиза изображения и обнаружение окклюзии могут использоваться для выявления дипфейков, а алгоритмы ИИ могут анализировать артефакты для выявления цифровых манипуляций.
«Если машина что-то делает, то она обычно способна обнаружить следы», — объясняет Фрайберг. «Это хорошая новость».
BioID является частью консорциума немецких исследователей из промышленности, научных кругов и правительства, разрабатывающих методы обнаружения глубоких подделок.
Атаки на виртуальные камеры должны рассматриваться отдельно, однако, они представляют собой законную угрозу для систем биометрической проверки личности. Предотвратить их можно с помощью встроенных приложений, внесения драйверов виртуальных камер в черный список, методов реагирования на вызовы и случайного захвата изображений.
В то же время глубокие подделки могут нанести ущерб системам проверки личности, совершая атаки на уровне источника видео.
По словам Фрейберг, объединяйте собственные приложения с высококачественным программным обеспечением PAD, чтобы обеспечить системам наилучшую защиту, доступную в настоящее время.
По материалам Biometrics Research Group. Автор Chris Burt
