Во-первых, они имитируют реальные медиафайлы. Дипфейки и голосовые клоны совершенствуются в реальных условиях эксплуатации — короткие клипы, мобильная съемка, сжатие и несовершенное освещение. Рабочий процесс, зависящий от узкой визуальной поверхности, все чаще подвергается ложному принятию.
Во-вторых, они полностью обходят датчик. Инъекционные атаки подменяют входной поток до того, как он достигнет анализа. Вместо того чтобы показывать лицо камере, злоумышленники могут:
Использовать программное обеспечение виртуальной камеры для передачи синтетического или предварительно записанного видео
Запускать сеансы проверки внутри эмуляторов, предназначенных для имитации легитимных мобильных устройств
Работать с устройств с root-правами или джейлбрейком, которые обходят проверки целостности
Заменять захват в реальном времени манипулированными потоками
В этих сценариях медиафайлы могут выглядеть идеально, потому что им не пришлось проходить через реальный путь захвата. Именно поэтому защита только на основе восприятия (даже сильная) необходима, но недостаточна.
Что показывает бенчмарк базы данных инцидентов с политическими дипфейками Университета Пердью? Одна из практических проблем защиты от дипфейков — это обобщение: детекторы, которые хорошо работают в контролируемых условиях, часто ухудшаются в условиях «реальной жизни».
Исследователи из Университета Пердью оценили системы обнаружения дипфейков, используя свой реальный бенчмарк, основанный на базе данных инцидентов с политическими дипфейками (PDID).
PDID содержит реальные медиафайлы инцидентов, распространяемые на таких платформах, как X, YouTube, TikTok и Instagram, что означает, что входные данные сжимаются, перекодируются и обрабатываются постобработкой так же, как это часто происходит в реальных условиях.
Ключевые факторы включают:
Сильное сжатие и перекодирование
Разрешение ниже 720p
Короткие клипы, ориентированные на мобильные устройства
Разнородные конвейеры генерации
Детекторы оценивались сквозным методом с использованием таких метрик, как точность, AUC и частота ложных срабатываний (FAR). В рабочих процессах идентификации FAR часто является более важной метрикой, поскольку даже небольшая частота ложных срабатываний может допустить постоянный несанкционированный доступ.
Результаты Purdue также подчеркивают практическую реальность для защитников: производительность детекторов резко различается, как только входные данные начинают выглядеть как реальные.
Среди коммерческих систем, протестированных в рамках бенчмарка PDID Университета Пердью, Deepsight от Incode показала лучшие результаты в задаче чисто визуального обнаружения дипфейков — оценки самого видеоконтента в условиях реального инцидента.
Но это только первый уровень проблемы.
Важно уточнить: PDID измеряет устойчивость обнаружения медиаконтента на реальном контенте инцидента. Он не моделирует внедрение, компрометацию устройства или атаки на целые сессии.
В реальных рабочих процессах идентификации злоумышленники не выбирают один метод за раз; они их комбинируют. Высококачественный дипфейк можно воспроизвести. Воспроизведение можно внедрить. Внедренный поток можно автоматизировать в больших масштабах.
См. также другие публикации по теме deepfake
No comments:
Post a Comment