в 2021 году еще не умеют снимать полнометражные фильмы с использованием 3D-видео, способного обмануть человеческий глаз (вот почему люди в анимационных фильмах выглядят не вполне реалистично), не говоря уже о программах-детекторах. Но к 2041 году наверняка появятся фотореалистичные 3D-модели, о которых мы подробнее поговорим в других главах этой книги — «Воробьи-близнецы» и «Мой призрачный кумир».
Джордан Пил создал дипфейк ради развлечения и в назидание, а в нашем рассказе агент Чи вербует Амаку для изготовления дипфейка с конкретным злым умыслом. Помимо распространения сплетен дипфейки могут быть использованы для шантажа, преследования, клеветы, манипуляций на выборах.
Как делаются дипфейки? Как научить ИИ выявлять их? Кто победит — софт для создания дипфейков или программы для их обнаружения? Чтобы ответить на эти вопросы, необходимо разобраться в механизме, который генерирует дипфейки, — в генеративно-состязательных сетях (GAN — generative adversarial networks).
ГЕНЕРАТИВНО-СОСТЯЗАТЕЛЬНЫЕ СЕТИ (GAN)
Дипфейки базируются на технологии, называемой генеративными состязательными сетями. Как следует из названия, GAN — это пара «состязательных» нейронных сетей глубокого обучения. Первая сеть, генератор, пытается создать что-то, что выглядит реалистично (скажем, синтезированное изображение собаки), основываясь на миллионах изображений собак.
Вторая сеть, дискриминатор (сеть-детектив), сравнивает синтезированное изображение собаки из первой сети с подлинными изображениями собаки и определяет, является ли выход генератора подлинным или фальшивым.
Основываясь на обратной связи от дискриминатора, генератор переобучается так, чтобы в следующий раз обмануть дискриминатор. Он самокорректируется, минимизируя «функцию потерь», то есть различия между сгенерированным и реальным изображением. Затем переобучается и дискриминатор, и ему становится легче распознавать фейки — «функция потерь» максимизируется. Эти два процесса повторяются миллионы раз; обе сети совершенствуют свои навыки до тех пор, пока не возникает устойчивое равновесие.
Первая статья о GAN была опубликована в 2014 году. Ее автор Ян Гудфеллоу показал, как генератор сначала создал симпатичную, но явно фейковую «собаку-мячик», которую дискриминатор мгновенно обнаружил, и как первая сеть постепенно научилась создавать фейковые изображения собак, неотличимые от реальных. С тех пор эту технологию применили к видео, речи и многим другим типам контента, в том числе и для создания печально знаменитого видео Обамы, о котором я упомянул ранее.
Можно ли обнаружить дипфейки, созданные GAN? Из-за их относительно рудиментарной природы и ограничений современных вычислительных мощностей большинство дипфейков сегодня обнаруживаются алгоритмами, а иногда и видны невооруженным человеческим глазом.
Facebook и Google уже вступили в состязание по разработке софта для обнаружения дипфейков. Эффективные детекторы дипфейков можно создать и сегодня, но это требует огромных вычислительных мощностей, что является весьма серьезной проблемой, если на ваш веб-сайт ежедневно загружаются миллионы видео и фото.
Однако в долгосрочной перспективе наибольшая сложность состоит в том, что GAN оснащена встроенным механизмом для апгрейда сети-генератора. Допустим, вы обучили генератор GAN, а кто-то другой придумал новый алгоритм для обнаружения вашего дипфейка. Вы можете просто переобучить генератор GAN, чтобы обмануть этот алгоритм-дискриминатор. Так начинается что-то вроде гонки вооружений — каждая из сторон старается переобучить лучшую модель на еще более мощном компьютере.
В нашем рассказе более ранний ролик (про мальчика-вампира) Амака изготовил с помощью относительно простых инструментов в интернет-кафе, на минимальных вычислительных мощностях. Видео получилось достаточно хорошим, чтобы обмануть людей; в 2041 году фейковые видео были уже вполне убедительными, чтобы люди не отличали их от реальных.
Однако видео не смогло обмануть GAN-детектор сайта, на котором его разместили (его обучали с использованием гораздо больших вычислительных мощностей), поэтому оно впоследствии было удалено с сайта и заблокировано.
А позже Чи предоставил Амаке мощный компьютер для обучения сложной GAN, умеющей генерировать не только лицо, но и кисти рук, пальцы, походку, жесты, голос и мимику. Кроме того, эта GAN обучалась на огромном количестве данных, доступных в сети по такой знаменитости, как Репо — мишень Амаки. В результате Амака сумел обмануть все обычные детекторы дипфейков.
Представьте себе ювелирный магазин с пуленепробиваемыми витринами, способными защитить от любых видов стрелкового оружия. Но если у преступника будет ручной противотанковый гранатомет (РПГ), никакое пуленепробиваемое стекло перед ним не устоит. Так что все дело в мощности компьютера.
К 2041 году антидипфейковые программы станут похожими на сегодняшний антивирусный софт. Правительственные, новостные и другие сайты, для которых достоверность информации критически важна, не потерпят фальшивого контента и потому будут устанавливать высококачественные детекторы дипфейков, предназначенные для выявления подделок с высоким разрешением, которые, в свою очередь, создадут крупные сети GAN, обученные на мощнейших компьютерах.
Сайты со слишком большими объемами видео- и фотоматериала (например, Facebook и YouTube) столкнутся с проблемой высокой стоимости сканирования всего загружаемого контента с помощью высококачественных детекторов дипфейков, поэтому они, скорее всего, начнут использовать для всего медиаконтента детекторы низкого качества, а более качественный софт применять, только когда популярность видео или изображения покажет экспоненциальный рост.
Поскольку фейковое видео Амаки должно было стать вирусным, его нужно было обучить на самом мощном компьютере с наибольшим объемом данных, чтобы его не могли обнаружить самые качественные антидипфейковые детекторы.
Следует ли считать цель стопроцентного обнаружения дипфейков безнадежной? В очень долгосрочной перспективе это может стать возможным благодаря применению совершенно другого подхода — аутентификации каждой фотографии и видео, когда-либо снятых каждой камерой или телефоном, с использованием в момент съемки технологии блокчейн (она гарантирует, что оригинал не изменялся).
Тогда любое фото, загруженное на сайт, должно будет сопровождаться блокчейн-авторизацией. Такой процесс действительно сделает дипфейки невозможными. Однако к 2041 году такой апгрейд еще будет немыслим — ведь для этого требуется, чтобы технология блокчейн использовалась абсолютно на всех устройствах (точно так же, как сегодня все AV-ресиверы используют Dolby Digital), и она должна стать достаточно быстрой для обработки данных в огромных масштабах.
Мы надеемся, что пока у нас нет такого долгосрочного решения, основанного на блокчейне или аналогичной технологии, инструменты для обнаружения дипфейков будут постоянно совершенствоваться. А поскольку они вряд ли будут идеальными, нам также потребуются законы, жестко наказывающие за создание злонамеренных дипфейков и тем самым сдерживающие пыл злоумышленников.
Так, в 2019 году в Калифорнии приняли закон, запрещающий использование дипфейков для порно и для манипуляций с видео с политическими кандидатами в преддверии выборов. Нам, по всей вероятности, потребуется научиться жить в новом мире (до тех пор пока не заработает блокчейн-решение), в котором любой онлайн-контент, независимо от его реалистичности, должен подвергаться сомнению.
Следует также отметить, что помимо создания дипфейков GAN можно использовать для вполне конструктивных задач — «состаривания» или «омоложения» фотографий, раскрашивания старых черно-белых фильмов и фото, создания анимированных живописных полотен (например, Моны Лизы). Можно увеличивать разрешение фотографий, обнаруживать глаукому, прогнозировать последствия изменения климата и даже изобретать новые лекарства.
Так что не стоит думать о GAN