Сохейл Фейзи считает себя оптимистом. Однако профессор информатики Мэрилендского университета прямолинейно оценивает текущее состояние дел с водяными знаками для изображений, созданных искусственным интеллектом. «На данный момент у нас нет ни одного надежного водяного знака», — говорит он. «Мы сломали их все».
В отношении одного из двух типов водяных знаков для ИИ, которые он тестировал в рамках нового исследования, — водяных знаков с низким уровнем возмущений, которые невидимы невооруженным глазом, — он говорит еще более прямо: «Надежды нет».
Фейзи и его соавторы изучили, насколько легко злоумышленникам уклониться от использования водяных знаков (он называет это «вымыванием» водяного знака). Помимо демонстрации того, как злоумышленники могут удалять водяные знаки, исследование показывает, как можно добавлять водяные знаки в изображения, созданные человеком, что приводит к ложным срабатываниям. Препринт, опубликованный в Интернете на этой неделе, еще не прошел рецензирование, но Фейзи является одной из ведущих фигур, изучающих возможные способы обнаружения ИИ, поэтому это исследование заслуживает внимания, даже на столь ранней стадии.
Это своевременное исследование. Водяные знаки стали одной из наиболее перспективных стратегий идентификации изображений и текстов, созданных искусственным интеллектом. Подобно тому, как физические водяные знаки ставятся на бумажных деньгах и марках для подтверждения подлинности, цифровые водяные знаки призваны отслеживать происхождение изображений и текстов в Интернете, помогая людям выявлять поддельные видео и написанные ботами книги. В связи с приближающимися в 2024 году президентскими выборами в США опасения по поводу манипуляций со средствами массовой информации весьма высоки, и некоторые люди уже оказываются обмануты. Например, бывший президент США Дональд Трамп на своей социальной платформе Truth Social выложил фальшивое видео с Андерсоном Купером, голос которого был клонирован искусственным интеллектом.
Летом этого года OpenAI, Alphabet, Meta*, Amazon и некоторые другие крупные игроки рынка ИИ пообещали разработать технологию водяных знаков для борьбы с дезинформацией. В конце августа компания DeepMind, принадлежащая Google, выпустила бета-версию своего нового инструмента для создания водяных знаков — SynthID. Предполагается, что эти инструменты будут отмечать контент ИИ в процессе его создания, подобно тому, как физические водяные знаки удостоверяют подлинность долларов в процессе их печати.
Это надежная и простая стратегия, но, возможно, она не будет выигрышной. Данное исследование — не единственная работа, указывающая на серьезные недостатки водяных знаков. «Хорошо известно, что водяные знаки могут быть уязвимы для атак, — говорит Хани Фарид, профессор Школы информации Калифорнийского университета в Беркли.
В августе этого года исследователи из Калифорнийского университета в Санта-Барбаре и Университета Карнеги-Меллон в соавторстве написали еще одну работу с аналогичными выводами, проведя собственные экспериментальные атаки. «Все невидимые водяные знаки уязвимы», — говорится в статье. Новейшее исследование идет еще дальше. Хотя некоторые исследователи не теряют надежды на то, что видимые («высоковозмущенные») водяные знаки могут быть разработаны для защиты от атак, Фейзи и его коллеги утверждают, что даже этот более перспективный тип может быть подвержен манипуляциям.
Недостатки водяных знаков не отпугивают технологических гигантов, предлагающих их в качестве решения, но люди, работающие в области обнаружения ИИ, относятся к ним настороженно. «Поначалу водяные знаки кажутся благородным и многообещающим решением, однако в реальном мире их применение не оправдывает ожиданий, поскольку их можно легко подделать, удалить или проигнорировать», — говорит Бен Колман, генеральный директор компании Reality Defender, занимающейся разработкой систем обнаружения ИИ.
«Водяные знаки неэффективны», — добавляет Барс Юхаш, соучредитель стартапа Undetectable, занимающегося помощью людям в обходе детекторов ИИ. «Целые отрасли, такие как наша, возникли для того, чтобы убедиться в том, что это неэффективно». По словам Юхаша, такие компании, как его, уже способны предложить услуги по быстрому удалению водяных знаков.
Другие считают, что водяным знакам есть место в системе обнаружения ИИ — при условии, что мы понимаем их ограничения. «Важно понимать, что никто не считает, что одного водяного знака будет достаточно», — говорит Фарид. «Но я считаю, что надежные водяные знаки — это часть решения». Он считает, что совершенствование водяных знаков и их использование в сочетании с другими технологиями усложнит создание убедительных подделок для злоумышленников.
Некоторые коллеги Фейзи считают, что водяные знаки также имеют свое право на существование. «Является ли это ударом по водяным знакам, во многом зависит от предположений и надежд, возлагаемых на водяные знаки как на решение проблемы», — говорит Юксин Вэн, аспирант Мэрилендского университета, соавтор недавней работы, в которой предложена новая технология водяных знаков. Для Вэна и его соавторов, включая профессора информатики Тома Голдштейна, данное исследование — это возможность пересмотреть ожидания, возлагаемые на водяные знаки, а не повод отвергнуть их использование в качестве одного инструмента аутентификации среди многих других.
«Всегда будут существовать изощренные субъекты, способные уклониться от обнаружения», — говорит Голдштейн. «Вполне нормально иметь систему, которая может обнаружить только некоторые вещи». Он считает водяные знаки одной из форм уменьшения вреда, и их стоит использовать для выявления мошенничества с использованием ИИ на низком уровне, даже если они не могут предотвратить атаки на высоком уровне.
Возможно, такое смягчение ожиданий уже происходит. В своем сообщении в блоге, анонсирующем SynthID, DeepMind старается подстраховаться, отмечая, что инструмент «не является надежным» и «не совершенен».
Фейзи в целом скептически относится к тому, что водяные знаки — это хорошее использование ресурсов для таких компаний, как Google. «Возможно, нам следует привыкнуть к тому, что мы не сможем надежно помечать изображения, созданные искусственным интеллектом», — говорит он.
Тем не менее, выводы, сделанные в его работе, несколько более оптимистичны. «Судя по нашим результатам, создание надежного водяного знака — задача сложная, но не обязательно невыполнимая», — говорится в статье.
*Meta признана экстремистcкой организацией в России.