За последние пару лет мы окончательно разучились верить своим глазам. Подделка изображений в фоторедакторах встречалась и ранее, но появление генеративного ИИ вывело подделки на новый уровень. Пожалуй, первым знаменитым ИИ-фейком можно назвать ставшее виральным год назад фото папы римского в белом пуховике, но с тех пор счет таким качественным подделкам пошел на тысячи. Более того, развитие ИИ обещает нам вал убедительных поддельных видео в самом ближайшем будущем
Это еще больше усложнит проблему отслеживания «фейковых новостей» и их иллюстративного материала, когда фото одного события выдаются за изображение другого, людей, которые никогда не встречались, соединяют в фоторедакторе и так далее. Подделка изображений и видео имеет прямое отношение к кибербезопасности. Уже давно в разного рода мошеннических схемах жертв убеждают расстаться с деньгами, присылая им фото людей или животных, для которых якобы ведутся благотворительные сборы, обработанные изображения звезд, призывающих инвестировать в очередную пирамиду, и даже изображения банковских карт, якобы принадлежащих близким знакомым жертвы мошенничества. На сайтах знакомств и в других соцсетях жулики тоже активно используют сгенерированные изображения для своего профиля.
В наиболее сложных схемах дипфейк-видео и аудио, якобы изображающие начальство или родственников жертвы, применяются, чтобы убедить ее совершить нужное аферистам действие. Совсем недавно работника финансовой организации убедили перевести $25 млн мошенникам — жулики организовали видеозвонок, на котором присутствовали «финдиректор» и другие «коллеги» жертвы, — все дипфейковые. Как бороться с дипфейками и просто фейками? Как их распознавать? Это крайне сложная проблема, но ее остроту можно поэтапно снизить, особенно если научиться отслеживать происхождение изображения.
Где-то я это уже видел
Проблемы «фейковости», можно разделить на несколько категорий. Начнем со случаев, когда изображение не генерируется и не редактируется, — например, настоящий снимок из региона боевых действий выдается за фотографию из другого региона или кадр из художественного фильма преподносится как документальный. В подобных случаях искать какие-то аномалии на самом изображении бесполезно, зато можно поискать копии картинки в Интернете. Это давно решенная проблема благодаря таким инструментам, как Google Reverse Image Search, TinEye, и их аналогам. Если какое-то изображение вызывает у вас сомнения, можно загрузить его в подобный инструмент и найти сайты, на которых эта картинка уже публиковалась ранее. Так можно узнать, например, что несчастная семья погорельцев, десять собак из приюта или жертвы какой-то иной напасти «гастролируют» по сайтам и соцсетям уже несколько лет. Кстати, когда речь заходит о благотворительности, можно выделить еще несколько признаков фальшивого сбора, помимо собственно изображений.
Фотошоп?
Поскольку проблеме отредактированных фотографий уже много лет, математики, инженеры и специалисты по изображениям неоднократно подступались к ней, чтобы научиться определять модифицированные изображения автоматически. Среди наиболее известных начинаний такого толка можно упомянуть анализ метаданных изображений и определение «прифотошопленных» зон по артефактам сжатия JPEG (ELA, error level analysis). На них базируются многие популярные инструменты анализа изображений, например Fake Image Detector.
С появлением генеративного искусственного интеллекта (ИИ) появились и основанные на ИИ способы детектирования сгенерированного контента, но все они далеки от стопроцентной точности. Ключевая проблема всех этих подходов в том, что ни один из них не дает полной уверенности в происхождении изображения, не дает гарантий, что в изображении отсутствуют модификации, и не позволяет эти модификации верифицировать.
Проверяем происхождение контента
А можно ли упростить проверку изображения так, чтобы ее мог сделать обычный человек? Кликнул на изображение, и видишь: «Иван снял эту фотографию на камеру iPhone 20 марта», «Анна обрезала края и увеличила яркость 22 марта», «Петр заново сохранил картинку с большим сжатием 23 марта», «Изменений не было» — да так, чтобы эти данные нельзя было подделать? Звучит утопично, но именно такую амбициозную задачу поставила перед собой Коалиция за аутентичность и проверяемое происхождение контента (Coalition for Content Provenance and Authenticity, C2PA). В Коалицию входят крупные игроки компьютерной, фото- и медиаиндустрий: Canon, Nikon, Sony, Adobe, AWS, Microsoft, Google, Intel, BBC, Associated Press и еще около сотни участников, которые так или иначе присутствуют в жизненном цикле практически любой картинки, от ее создания до публикации онлайн. Стандарт C2PA, разработанный Коалицией и позволяющий реализовать эту задачу, уже не только опубликован, но даже дорос до версии 1.3, и постепенно появляются необходимые для его использования элементы индустриальной мозаики. Например, Nikon планирует производство совместимых C2PA-камер, а BBC опубликовала первые статьи с верифицированными изображениями.
Предполагается, что, когда ответственные СМИ и крупные компании перейдут на публикацию большинства изображений в верифицированном виде, пользователь сможет прямо из браузера проверить, что происходило с интересующим его изображением. Спецификация предусматривает, что из небольшой пометки «проверенное изображение» будет открываться более крупное окно, в котором отображается, какие снимки послужили источником, какие правки происходили на каждом этапе до появления изображения в браузере, кто и когда их сделал. Все промежуточные изображения на пути к финальной картинке тоже можно изучить. Данный подход работает не только для камер, но и для других способов создания изображений —так, маркировать свои генерации могут сервисы вроде Dall-E и Midjourney.
Верификация основана на криптографии с открытым ключом, по аналогии с защитой, применяемой в сертификатах веб-серверов при установке защищенного соединения HTTPS. Предполагается, что каждый производитель изображений, будь то Джек с конкретным экземпляром фотоаппарата или Анжела с лицензией на Photoshop, получит сертификат X.509 в одном из многочисленных удостоверяющих центров. Сертификат может быть «зашит» прямо в камеру на заводе, а для программных продуктов выдаваться при их активации. При обработке изображений с контролем происхождения каждая новая версия файла будет содержать большое количество дополнительной информации: дату, время и место правки, миниатюры исходного изображения и его новой версии. Все это будет подписано цифровой подписью автора или редактора изображения. Таким образом, верифицированный графический файл содержит сохраненную цепочку всех промежуточных версий, и каждая версия подписана автором правок.
Создатели спецификации озаботились и функциями конфиденциальности. В работе журналистов порой бывает, что источник фотографий разглашать нельзя. Для таких случаев предусмотрен особый вид правки фото — скрытие данных (redaction). Тот, кто ее проводит, заменяет часть информации о создателе фото нулями и подписывает эту правку своим сертификатом. Для демонстрации и тестирования возможностей C2PA создана коллекция тестовых изображений и видеофайлов, а на сайте Сontent Сredentials можно проверить учетные данные, историю создания и редактирования подобных изображений.
Естественные ограничения
Увы, цифровая подпись изображений проблему фальшивок не решит — ведь в Интернете уже существуют миллиарды картинок, которые никем не подписаны, и они никуда не денутся. Однако, по мере того как авторитетные источники информации будут переходить на публикацию только подписанных изображений, любые фото без цифровой подписи начнут восприниматься с подозрением. Настоящие фото и видео, сделанные камерой или смартфоном, с метками даты, времени и геопозиции, будет практически невозможно выдать за изображения других событий, а сгенерированные ИИ видео и изображения можно будет легко распознать. Опять же ничто не мешает эту самую подпись взломать, подделать или украсть.
По материалам Касперский