添加對抗性干擾來破壞 Deepfake 的方法失效？一種名為 MagDR 的新框架可以讓 Deepfake 模型相關(guān)系統(tǒng)正常使用。

近年來，“AI 變臉”特效風(fēng)靡全球，近期爆紅的 “螞蟻呀嘿” 再次掀起體驗和討論的熱潮，這種源自人工智能生成對抗網(wǎng)絡(luò)（GAN）的新技術(shù)，能夠利用深度學(xué)習(xí)技術(shù)識別并替換圖片或視頻中的原始人像，不僅制作過程簡單，而且逼真度驚人，幾乎能達到以假亂真的效果。

Deepfake 作為一項技術(shù)工具，有廣泛的應(yīng)用空間。語音合成能讓計算機用人類的聲音說出上百種語言，視頻合成能讓《速度與激情》里的 Paul Walker 復(fù)生，但若被濫用，也將帶來巨大的風(fēng)險，給身份識別和社會信任帶來挑戰(zhàn)，虛假視覺信息的應(yīng)用與傳播還會給人們造成隱私安全等多方面的困擾。

為此，一些研究致力于防止濫用 Deepfake，有研究者通過在源數(shù)據(jù)中添加對抗性干擾來破壞 Deepfake 的可能性，但是這種方法尚未完全消除威脅。近日，來自騰訊 Blade Team 的研究者提出了一種 mask-guided 檢測和重建方法 MagDR（Mask-guided Detection and Reconstruction），該方法能夠讓 Deepfake 免受對抗攻擊，這為破環(huán) Deepfake 帶來了新的思考方向。同時，該方法也能用于提升 AI 圖像處理的安全性。該論文已被 CVPR 2021 接收。

論文地址：https://arxiv.org/abs/2103.14211

MagDR 首先提出了一種檢測模塊，該模塊定義了一些標(biāo)準來判斷 Deepfake 的輸出是否異常，然后使用該模塊指導(dǎo)一個可學(xué)習(xí)的重建過程。提取自適應(yīng) mask 是為了捕獲局部面部區(qū)域的變化。在實驗中，MagDR 保護了 Deepfake 的三項主要任務(wù)，并且學(xué)得的重建 pipeline 能夠遷移到輸入數(shù)據(jù)上。這表明 MagDR 在防御黑盒和白盒攻擊方面都具有很好的性能。

方法

MagDR 框架代表 mask-guided 檢測和重建。如圖 2(a)所示，它包含兩個主要組件，一個檢測器和一個重建器，二者均由在自適應(yīng) mask 上計算出的一組預(yù)定義標(biāo)準指導(dǎo)?？傮w思路是從輸出圖像中感知對抗性攻擊的存在（通常會受到嚴重干擾），并執(zhí)行可調(diào)算法將所有預(yù)定義標(biāo)準轉(zhuǎn)換為可接受的值，之后輸出被認為已重構(gòu)。在該設(shè)計框架下，可以自由更改每個模塊的實現(xiàn)。

MagDR 二階段框架的核心思想在于使用一些非監(jiān)督性指標(biāo)，對對抗樣本在 Deepfake 中所生成的結(jié)果進行敏感性的評估，并且利用人臉屬性區(qū)域作為輔助信息以及通過對最優(yōu)的防御方法進行搜索組合的方式對圖片進行檢測和重建，以期望能夠達到凈化原圖并保持 Deepfake 輸出真實性的目的。

實驗

該研究選取了 Deepfake 中較為重要的三個任務(wù)進行攻防實驗，分別為換臉、人臉屬性修改以及表情變換。給原圖增加噪聲后，所產(chǎn)生的對抗樣本盡管對原圖進行了修改，但修改的程度明顯低于人眼可察覺的水平，而 Deepfake 模型產(chǎn)生的深度偽造視頻卻已經(jīng)崩壞，無法以假亂真，其對 Deepfake 帶來的影響是災(zāi)難性的。

但當(dāng)改為通過 MagDR 框架進行處理時，情況發(fā)生了變化。該模型首先對視頻中的對抗攻擊擾動進行檢測，提醒 Deepfake 的使用者，所用的圖片或視頻大概率是存在對抗攻擊的，然后通過重建視頻模型，能夠有效地將攻擊者注入的對抗擾動進行消除，從而實現(xiàn)了 Deepfake 模型相關(guān)系統(tǒng)的正常使用。

MagDR 框架不僅能夠消除對抗擾動帶來的破壞性影響，同時還保留了原圖的各種像素細節(jié)，進而保證了重建后的 Deepfake 結(jié)果與原圖結(jié)果一致。

這一發(fā)現(xiàn)表明，目前業(yè)界主流的主動性防御的方法（Deepfake 對抗擾動）不再可靠，為了避免社交網(wǎng)絡(luò)上人臉照片被惡意使用，還需要找到更佳的 Deepfake 防御方案。

同時，騰訊 Blade Team 研究員也在此發(fā)現(xiàn)的基礎(chǔ)上提出了安全建議，比如可以生成特定的對抗擾動，使得產(chǎn)生出的崩壞效果受到限制，更加真實以繞過目前 MagDR 的檢測，或者說產(chǎn)生更難以被重建模塊消除的魯棒性對抗擾動。

Tencent Blade Team 由騰訊安全平臺部成立，專注于人工智能、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云虛擬化等前沿技術(shù)領(lǐng)域的前瞻安全技術(shù)研究，目前已向 Apple、Amazon、Google、Microsoft、Adobe 等諸多國際知名公司報告并協(xié)助修復(fù)了 200 多個安全漏洞。

研究團隊還表示希望大家可以對 MagDR 的組件或者整體結(jié)構(gòu)進行調(diào)整與創(chuàng)新，以其作為新思路的創(chuàng)新點，產(chǎn)生出更為強大的防御框架，從而防止 Deepfake 的惡意濫用，進一步地加強用照片或視頻的安全性。技術(shù)在不斷進步，只有“用 AI 對抗 AI”，才能讓技術(shù)的安全應(yīng)用走得更遠。