Vědci z MIT vytvořili nástroj, který ztěžuje umělé inteligenci zneužívat fotografie. Umožňují to drobné poruchy v pixelech obrázku, které sice lidské oko nezaznamená, ale jsou dostatečně výrazné na to, aby zabránily systémům AI v tom s fotografií manipulovat a záměrně ji měnit.
S umělou inteligencí je to jako s každým podobným nástrojem. Když slouží jako dobrý služebník, nemůžeme si ji vynachválit. Pokud ji ale někdo používá k nekalým a nečestným praktikám, vadí nám to. Příkladem mohou být třeba fotografie z dovolené zveřejněné na sociálních sítích. Díky využití výkonných generativních systémů umělé inteligence je může kdokoliv vzít a upravit. Pokud jde o nějakou humornou přátelskou taškařici, člověk se zasměje, ale pokud se obličej z fotky objeví na fotografii s choulostivým obsahem, bude reakce asi jiná.
Souboj s AI
Právě manipulaci, zneužívání a vytváření falešné reality by se mohl postavit nástroj PhotoGuard. Vyvinuli ho výzkumníci na prestižním Massachusetts Institute of Technology (MIT). Funguje jako určité kazítko, případně ochranný štít. Fotografie upravuje tak, aby s nimi nebylo možné dále manipulovat a zneužít je. Změna je ale zároveň pro lidský zrak tak nepatrná, že ji oko ani nezaregistruje.
Díky úpravě a ochraně poskytnuté nástrojem PhotoGuard je fotografie vůči změnám, kterou by se ní kdokoliv pokusil provést, imunní. A to i pro tak výkonné nástroje jako jsou Midjourney nebo Stable Diffusion. Pokud by se někdo pokusil o úpravu prostřednictvím nástroje založeného na generativním modelu umělé inteligence, neuspěje. Výsledek díky zásahu PhotoGuard bude vypadat nerealisticky nebo zdeformovaně.
Modely umělé inteligence totiž nahlížejí na obrázek odlišným způsobem než lidé. Vidí jej jako komplexní soubor matematických datových bodů, které popisují barvu a polohu každého pixelu.
Důvodem neúspěchu při snaze upravit obrázek jsou dvě různé techniky, které tým vědců pro ochranu původních obrázků použil. První z nich používá tzv. kodér, kdy PhotoGuard do obrazu přidává nepostřehnutelné znaky a signály, díky nimž pak umělá inteligence obrázek interpretuje jako něco jiného, než je na daném obrázku zobrazené.
Díky této ochraně tak například umělá inteligence může něčí obličej interpretovat jako ovál hnědé barvy, což se ke zneužití a případné kompromitaci konkrétního člověka moc nehodí. V důsledku toho se pak jakýkoli pokus o manipulaci s obrázkem pomocí AI stává téměř nemožným.
PŘEČTĚTE SI: Umělá inteligence s ambicí ovládnout a zničit lidstvo. ChaosGPT reálnou hrozbu nepředstavuje
Ochranný štít
Tato první metoda se zaměřuje spíše na detail. Druhý způsob ochrany se jmenuje difúzní útok a je ještě účinnější. Modelům umělé inteligence generujícím obrázky jejich činnost neumožní, protože původní obrázek PhotoGuard zakóduje tak, že dochází ke změně způsobu, jímž jsou modelem generativní AI zpracovávány. Jde o celkovou, strategickou ochranu, kdy PhotoGuard určí cílovou podobu obrázku a následně spustí optimalizační proces, na jehož konci je sladění obrázku s tímto předem stanoveným cílem. Pro potřeby AI jde ale o dva jiné obrázky, kdy se umělá inteligence upravující obrázek zaměřuje na PhotoGuardem upravenou variantu. Díky tomu původní podoba obrázku zůstává chráněna před případnou manipulací.
PhotoGuard totiž při optimalizačním procesu vytvoří poruchy ve vstupním prostoru původního obrázku. Tyto poruchy jsou využity během fáze inference (odvozování) a aplikované na obrázky, které jsou tak chráněny oproti možnému zneužití.
Difúzní útok je výpočetně náročnější než první metoda tzv. útoku kodéru a vyžaduje značnou paměť GPU. Zároveň ale aproximace procesu difúze obsahuje méně kroků ke snížení rizika možného problému, a proto je tato technika praktičtější.
Jednotný vodoznak
Zájemci by tento ochranný štít svých snímků mohli teoreticky využít ještě před tím, než je dají veřejně k dispozici. Efektivnější cestou by ale podle člena řešitelského týmu, profesora MIT Aleksandera Madryho bylo, pokud by ho technologické společnosti zakomponovaly do obrázků, které lidé nahrávají na své účty na nejrůznějších platformách.
„Tvůrci politik by měli zvážit přijetí nařízení, která by společnostem stanovila povinnou ochranu uživatelských dat před možnými manipulacemi ze strany AI. Vývojáři by mohli navrhovat rozhraní API, která automaticky přidávají poruchy k obrázkům uživatelů, což by poskytlo další vrstvu ochrany proti neautorizovaným úpravám,“ konstatoval Hadi Salman, absolvent PhD programu na MIT, který se na vývoji PhotoGuard podílel a aktuálně pracuje pro společnost OpenAI.
Určité kroky byly na této cestě už podniknuty. V červnu 2023 Evropský parlament přijal tzv. akt o umělé inteligenci, první komplexní zákon o AI na světě. Generativní umělá inteligence, jako je ChatGPT, bude muset splňovat požadavky na transparentnost, kdy bude povinné zveřejnit, že obsah byl vygenerován umělou inteligencí nebo navrhnout model tak, aby zabránil vytváření nezákonného obsahu.
Také v USA se do věci vložila administrativa prezidenta Joe Bidena. V červenci 2023 se sedm amerických společností zabývajících se umělou inteligencí (Amazon, Anthropic, Google, Inflection, Meta, Microsoft a OpenAI) dobrovolně zavázalo dodržovat osm závazků řízení rizik, z nichž jedním je pomoci odlišit obsah vytvořený umělou inteligencí od obsahu vytvořeného člověkem. Ať už vytvořením systému vodoznaků, případně vložením skrytého digitálního podpisu do každé části vytvořené AI, aby byl původní zdroj vždy dohledatelný. Snahou je, aby všechny širokou veřejností využívané generátory obrázků vytvořených umělou inteligencí sdílely jeden protokol vodoznaku.
Rizika i demo
Problémem tak zůstává, že PhotoGuard může umělé inteligenci ztížit manipulaci pouze s novými obrázky, které tuto techniku využijí. Obrázky, které už jsou veřejně dostupné, tak mohou i nadále sloužit k manipulacím a vytváření deepfakes. A nemuselo by zůstat pouze u nich.
„V extrémnějších scénářích by tyto modely mohly simulovat hlasy a obrázky pro zinscenování falešných zločinů, způsobujících psychický stres a finanční ztráty. Rychlá povaha těchto akcí umocňuje problém. I když je podvod nakonec odhalen, škoda — ať už reputační, emocionální nebo finanční – se často už stala,“ konstatoval Salman.
Řešení, na kterém spolupracoval, pochválil i Ben Zhao, profesor počítačových věd na Chicagské univerzitě, který vyvinul podobnou ochrannou metodu pojmenovanou Glaze. Určená je pro preventivní ochranu uměleckých děl. PhotoGuard je podle něj „dobrou kombinací hmatatelné potřeby něčeho s tím, co lze udělat právě teď“.
Tým z MIT dal zájemcům k dispozici online zatím demo verzi. Ta zájemcům umožňuje ochránit vůči manipulaci využívající možnosti umělé inteligence své vlastní fotografie. Zatím je ale dobře fungující pouze proti pokusům uskutečněným s pomocí Stable Diffusion.
PŘEČTĚTE SI: Umělá inteligence i opice jsou na tom stejně. Na svá díla nemají práva
