在一年前,容打外界對于生成式人工智能(AI)可能“作惡”的水印式猜測,如今很遺憾地幾乎成為了事實。沒意諸如社交平臺上有用戶借助AI生產假視頻,義卻已今聲稱某地郵輪上存在器官移植手術室的佳方消息,就引來了一大波流量,容打甚至一度沖上熱搜榜。水印式而這大半年以來,沒意警方偵破不法分子利用生成式人工智能(AIGC)造謠、義卻已今詐騙的佳方相關報道更是絡繹不絕。
可以用來生成虛假、容打復雜的水印式信息這件事,使得“深度偽造”(Deepfake)已然成為了互聯網世界切實的沒意新威脅。即便拋開利用AI進行違法犯罪活動,義卻已今單純是佳方通過AI的力量進行不道德競爭也開始泛濫成災,大量由AIGC驅動的假消息儼然成為了讓廣告主頭疼的纖芥之疾。
有鑒于此,谷歌、OpenAI等AI大廠也開始八仙過海各顯神通,并試圖借助各式各樣的手段來對抗虛假信息和深度偽造。比如,在過去一年里最為流行的策略——“AI水印”。
此前在今年夏季,谷歌、亞馬遜等七家大型科技公司承諾采取AI安全措施,包括部署水印,以確保算法生成的內容可以與人類作品區分開來。然而近期來自美國馬里蘭大學研究團隊公布的研究結果卻表明,AI水印可能是無效的。
目前在互聯網上大規模使用的數字水印技術其實是一個典型的主動防御手段,例如包括我們三易生活在內的創作者會在原創文字、圖片、視頻中加入帶有標識的水印,以此來證明相關內容的來源。簡單來說,數字水印是一個在互聯網上證明身份的有效工具。故而AI廠商將水印與AIGC結合在一起,用水印來幫助用戶了解哪些內容是AI生產,這確實相當合理。
要知道在經過了這一年來的數輪技術迭代,現階段通過ChatGPT生成的文字內容,使用Stable Diffusion、Midjourney Bot創作的圖像,借助Runway、pika labs產出的視頻,幾乎都已經能夠實現以假亂真的效果,沒有熟練使用這些工具的普通用戶想要輕易分辨哪些內容是由AI創作的根本不現實。甚至諸如抖音、微信這樣背靠互聯網大廠的超級App,其實也做不到主動辨識,而只能讓創作者自己申報內容是否屬于借助AI創作的。
水印技術應用在AIGC領域的優勢,就在于部署門檻更低、且檢出率也有保障,最起碼在谷歌等科技巨頭看來是這樣的。傳統意義上的水印是將信息添加到元數據中,但它卻非常脆弱,去除的方法也多種多樣,涂抹、剪切、縮放、壓縮、加噪、濾波都很有效,而谷歌卻宣稱他們的AI水印工具“SynthID”會更加堅固。
事實上,SynthID是使用兩個神經網絡創建。其中一個使用原始圖像,然后生成一張看起來幾乎相同的圖像,但有些像素經過了微妙的修改,創建出一個人眼看不見的嵌入圖案。第二個神經網絡則負責捕捉這些圖案,并告訴用戶它是否檢測到水印。按照谷歌DeepMind研究副總裁Pushmet Kohl的說法,SynthID的設計方式意味著即便相關內容被截屏、編輯,水印仍可以被檢測到。
總的來說,AI水印就是把信號嵌入到AI所生成的內容中,讓算法能從一小段token中檢測出來。那么問題就來了,馬里蘭大學的研究團隊在其發布的論文《Researchers Tested AI Watermarks—and Broke All of Them | WIRED》中談及,當前的水印方法很容易被規避,攻擊者不僅可以移除水印,還能在真實的圖像中添加假水印。同時這個團隊還開發出了一種“幾乎無法”從圖像中去除的水印技術,且不會完全損害圖像的知識產權。
簡單來說,馬里蘭大學這個研究團隊發現現有AI水印技術的魯棒性存在問題,低擾動(不可見)水印基本沒用、高擾動(可見)水印也可以被操縱。對此研究人員表示,可以使用擴散凈化攻擊來破解水印。其中的原因也很簡單,因為水印的隱匿性和魯棒性是互斥的,就好像百米飛人絕不可能是肥胖癥患者一樣。
反過來,如果使用明顯的水印、即對內容進行重大更改的技術,則可以通過易于移除水印的模型替代對抗攻擊來破解。不僅僅是馬里蘭大學這個團隊,還有來自加州大學圣巴巴拉分校和卡內基梅隆大學合作的一項類似研究中,也出現了相同的金結論,研究人員發現通過“模擬攻擊”,AI生成圖像中的水印可以輕易去除,通過破壞性的調整亮度、對比度,或壓縮乃至旋轉圖像來去除,或是通過建設性的高斯模煳等技術去除。
顯而易見,在技術層面通過給AIGC內容打水印來辨別它們是有一定局限性的,但遺憾的是,這項技術依舊是當下業界最有效的。比如GPT-Zero這類無監督的檢測底層邏輯,就是利用AI生成的內容,在統計學意義上比人類輸出的文本困惑度更低,而困惑度指的是AI模型在解讀相關內容時會不會覺得很難懂,困惑度越高就證明內容越有可能是人類創作的。
問題在于,大模型訓練階段的目標就是模仿人類,造成的結果就是GPT-Zero檢測的“假陽性率”極高,以至于在普遍使用這項技術的美國大學校園里,學生會被GPT-Zero的誤判折騰地“欲仙欲死”。此外,HC3這類基于預訓練的檢測是通過標注大量的數據,來訓練一個有監督分類器的工具,但這類工具的缺陷就在于只能應用在某一個大模型的特定版本、不具備通用性。
相比這兩類工具,水印的優勢就在于部署門檻低,只需預先在大模型中加入幾行代碼即可,而且檢出率也更有保障。
【以上內容轉自“三易生活網”,不代表本網站觀點。如需轉載請取得三易生活網許可,如有侵權請聯系刪除。】
延伸閱讀: