コンピューター科学者たちは、機械学習システムによるデジタル画像操作やディープフェイク作成の試みを阻止する方法を考案したと主張している。
最近では、AIモデルを使ってゼロから画像を作成できるだけでなく、説明文を入力するだけで対応する画像を自動生成してくれます。さらに、同じ技術を使って既存の画像を操作することも可能。訓練済みのシステムに画像を与え、どのように変更したいか指示したり、GUIを使って指示したりするだけで、あとは自動で処理してくれます。
そうなれば、ソーシャルメディアが自動化された大量の偽情報で溢れかえり、機械によって歪曲されたスナップ写真で人々が脅迫されるといった、恐ろしい未来が訪れる可能性が出てきます。偽物と本物を見分けられなくなると、偽物も同じように大きな被害をもたらす可能性があります。
これを防ぐ一つの方法は、画像やその他のコンテンツに透かしやデジタル署名を施し、改ざんが検知できるようにすることです。MITの研究者らが提案するもう一つの方法は、AIモデルがそもそも改ざんできないようにスナップ写真を設計することです。
「重要な建造物での爆発など、偽の壊滅的な出来事が詐欺的に拡散される可能性を考慮しなければならない」と、このプロジェクトに携わった同大学の電気工学・コンピューターサイエンス学部の大学院生、ハディ・サルマン氏は述べた。
この詐欺行為は市場の動向や世論を操作する可能性がありますが、そのリスクは公共の領域だけにとどまりません。個人の画像が不適切に改変され、脅迫に利用される可能性があり、大規模に実行されると甚大な経済的損失につながる可能性があります。
サルマン氏の言う通りかもしれない。ディープフェイクはすでに偽情報の拡散やネットユーザーへの欺瞞、嫌がらせに利用されており、AIが生成した画像はますますリアルになっている。今後技術が進歩すれば、リアルな偽音声を使った動画も作成できるようになるだろうと彼は警告した。
そのため、サルマン氏とその同僚は、悪意のある人物がこれらのツールを悪用してコンテンツを操作するのを防ぐために、「PhotoGuard」と呼ばれる機械学習ソフトウェアを開発することを決定しました。
- このアプリは、テキストから画像へのAIモデルがアーティストを騙すのを阻止できる可能性がある
- 2023年は、ならず者国家がでっち上げた、爆発的な偽情報のディープフェイクの年になるのでしょうか?
- ついに、Photoshopのエアブラシ処理を確実に検知して元に戻せるAIが登場しました。開発元は? えっと、Photoshopの開発元Adobeです。
機械学習モデルでは、画像は基本的に数値の配列として処理されます。PhotoGuardはこれらの配列を微調整することで、他の機械学習モデルが入力画像を正しく認識できないようにし、最終的に画像が操作されないようにします。人間の目にはピクセルはそのまま残るため、保護された画像は人間の目には同じに見えますが、コンピューターにはそうは見えません。
下の例では、アメリカのテレビコメディアン、トレバー・ノアとマイケル・コスタが全米オープンでプレーしている写真が示されています。この保護されていない元の写真は、テキスト駆動型の拡散モデルによって操作され、全く異なる場面、つまり社交ダンスをしている二人の姿を再現できます。しかし、PhotoGuardによる修正を加えると、拡散モデルは目に見えない変化に惑わされ、画像を完全に変更することができません。
MIT PhotoGuardの論文から引用した図。データの改ざん防止が基本的にどのように機能するかを概説している。クリックして拡大
「この攻撃では、入力画像を撹乱し、[大規模拡散モデル]によって生成される最終画像が特定のターゲット画像(ランダムノイズやグレー画像など)になるようにします」と研究者らは、ArXivで公開されたPhotoGuardを説明する査読なしの論文に記している。
厳密に言えば、このアプローチはMITチームによって拡散攻撃と呼ばれています。その目的は、画像操作AIを欺き、与えられたテキストプロンプトを事実上無視させることです。
2つ目のより単純な手法として、エンコーダー攻撃があります。これは、操作するAIに写真を別のもの(例えば灰色の四角形)として認識させ、自動編集を妨害しようとするものです。どちらの手法でも結果はほぼ同じで、AIによる画像操作は軌道から外れてしまいます。
「エンコーダ攻撃を適用する際、私たちの目標は、元の画像の表現をターゲット画像(グレー画像)の表現にマッピングすることです」と研究チームは論文に記しています。「一方、私たちの(より複雑な)拡散攻撃は、拡散プロセス全体を操作することで、与えられたターゲット画像(グレー画像)に似た画像を生成することを目指しています。」
彼らはStability AIのStable Diffusion Model v1.5を用いて実験を行い、PhotoGuardはAIによるデジタル改ざんから画像を保護できるものの、実用化は難しいと指摘しました。まず、拡散攻撃には相当なGPU処理能力が必要なため、十分な性能を持つチップがなければ、対策は難しいでしょう。
実際のところ、責任は画像を守ろうとする個人ではなく、こうした AI ツールを開発する組織にあるべきだと研究者らは主張している。
「モデル開発者、ソーシャルメディアプラットフォーム、そして政策立案者による協働的なアプローチは、不正な画像操作に対する強力な防御策となります。この差し迫った問題への取り組みは、今日、極めて重要です」とサルマン氏は主張した。
この解決策に貢献できることを嬉しく思いますが、この保護を実用化するには多くの作業が必要です。これらのモデルを開発する企業は、AIツールがもたらす可能性のある脅威に対する強力な免疫技術の開発に投資する必要があります。生成モデルの新たな時代へと踏み出すにあたり、可能性と保護を同等に追求していきましょう。
PhotoGuardは完璧な解決策ではありません。画像に保護が適用されていない状態で誰でもダウンロードできる場合、悪意のある人物が保護されていないバージョンの写真を入手し、AIを使って編集し、配布する可能性があります。また、切り抜き、回転、フィルターの適用によって、PhotoGuardの妨害が解除される可能性もあります。
MIT 幹部らは、彼らのオープンソースソフトウェア (当然ながら MIT ライセンス) をそのような改変に対してより堅牢なものにすべく取り組んでいると述べた。
レジスター紙はサルマン氏にさらなるコメントを求めた。®
