2021/04/01 15:37

CVPR 2021 | 破坏方法失效，新框架MagDR让Deepfake稳定难攻

添加对抗性干扰来破坏 Deepfake 的方法失效？一种名为 MagDR 的新框架可以让 Deepfake 模型相关系统正常使用。

近年来，“AI 变脸”特效风靡全球，近期爆红的 “蚂蚁呀嘿” 再次掀起体验和讨论的热潮，这种源自人工智能生成对抗网络（GAN）的新技术，能够利用深度学习技术识别并替换图片或视频中的原始人像，不仅制作过程简单，而且逼真度惊人，几乎能达到以假乱真的效果。

Deepfake 作为一项技术工具，有广泛的应用空间。语音合成能让计算机用人类的声音说出上百种语言，视频合成能让《速度与激情》里的 Paul Walker 复生，但若被滥用，也将带来巨大的风险，给身份识别和社会信任带来挑战，虚假视觉信息的应用与传播还会给人们造成隐私安全等多方面的困扰。

为此，一些研究致力于防止滥用 Deepfake，有研究者通过在源数据中添加对抗性干扰来破坏 Deepfake 的可能性，但是这种方法尚未完全消除威胁。近日，来自腾讯 Blade Team 的研究者提出了一种 mask-guided 检测和重建方法 MagDR（Mask-guided Detection and Reconstruction），该方法能够让 Deepfake 免受对抗攻击，这为破环 Deepfake 带来了新的思考方向。同时，该方法也能用于提升 AI 图像处理的安全性。该论文已被 CVPR 2021 接收。

论文地址：https://arxiv.org/abs/2103.14211

MagDR 首先提出了一种检测模块，该模块定义了一些标准来判断 Deepfake 的输出是否异常，然后使用该模块指导一个可学习的重建过程。提取自适应 mask 是为了捕获局部面部区域的变化。在实验中，MagDR 保护了 Deepfake 的三项主要任务，并且学得的重建 pipeline 能够迁移到输入数据上。这表明 MagDR 在防御黑盒和白盒攻击方面都具有很好的性能。

方法

MagDR 框架代表 mask-guided 检测和重建。如图 2(a)所示，它包含两个主要组件，一个检测器和一个重建器，二者均由在自适应 mask 上计算出的一组预定义标准指导。总体思路是从输出图像中感知对抗性攻击的存在（通常会受到严重干扰），并执行可调算法将所有预定义标准转换为可接受的值，之后输出被认为已重构。在该设计框架下，可以自由更改每个模块的实现。

MagDR 二阶段框架的核心思想在于使用一些非监督性指标，对对抗样本在 Deepfake 中所生成的结果进行敏感性的评估，并且利用人脸属性区域作为辅助信息以及通过对最优的防御方法进行搜索组合的方式对图片进行检测和重建，以期望能够达到净化原图并保持 Deepfake 输出真实性的目的。

实验

该研究选取了 Deepfake 中较为重要的三个任务进行攻防实验，分别为换脸、人脸属性修改以及表情变换。给原图增加噪声后，所产生的对抗样本尽管对原图进行了修改，但修改的程度明显低于人眼可察觉的水平，而 Deepfake 模型产生的深度伪造视频却已经崩坏，无法以假乱真，其对 Deepfake 带来的影响是灾难性的。

但当改为通过 MagDR 框架进行处理时，情况发生了变化。该模型首先对视频中的对抗攻击扰动进行检测，提醒 Deepfake 的使用者，所用的图片或视频大概率是存在对抗攻击的，然后通过重建视频模型，能够有效地将攻击者注入的对抗扰动进行消除，从而实现了 Deepfake 模型相关系统的正常使用。

MagDR 框架不仅能够消除对抗扰动带来的破坏性影响，同时还保留了原图的各种像素细节，进而保证了重建后的 Deepfake 结果与原图结果一致。

这一发现表明，目前业界主流的主动性防御的方法（Deepfake 对抗扰动）不再可靠，为了避免社交网络上人脸照片被恶意使用，还需要找到更佳的 Deepfake 防御方案。

同时，腾讯 Blade Team 研究员也在此发现的基础上提出了安全建议，比如可以生成特定的对抗扰动，使得产生出的崩坏效果受到限制，更加真实以绕过目前 MagDR 的检测，或者说产生更难以被重建模块消除的鲁棒性对抗扰动。

Tencent Blade Team 由腾讯安全平台部成立，专注于人工智能、移动互联网、物联网、云虚拟化等前沿技术领域的前瞻安全技术研究，目前已向 Apple、Amazon、Google、Microsoft、Adobe 等诸多国际知名公司报告并协助修复了 200 多个安全漏洞。

研究团队还表示希望大家可以对 MagDR 的组件或者整体结构进行调整与创新，以其作为新思路的创新点，产生出更为强大的防御框架，从而防止 Deepfake 的恶意滥用，进一步地加强用照片或视频的安全性。技术在不断进步，只有“用 AI 对抗 AI”，才能让技术的安全应用走得更远。

理论计算机视觉DeepFakes腾讯

相关技术

区块链技术云计算机器学习

感知技术

知觉或感知是外界刺激作用于感官时，脑对外界的整体的看法和理解，为我们对外界的感官信息进行组织和解释。在认知科学中，也可看作一组程序，包括获取信息、理解信息、筛选信息、组织信息。与感觉不同，知觉反映的是由对象的各样属性及关系构成的整体。

来源：维基百科

重构技术

代码重构（英语：Code refactoring）指对软件代码做任何更动以增加可读性或者简化结构而不影响输出结果。软件重构需要借助工具完成，重构工具能够修改代码同时修改所有引用该代码的地方。在极限编程的方法学中，重构需要单元测试来支持。

来源：维基百科

人工智能技术

在学术研究领域，人工智能通常指能够感知周围环境并采取行动以实现最优的可能结果的智能体（intelligent agent）

来源：Russell, S., & Norvig, P. (2003). Artificial Intelligence: A Modern Approach.

语音合成技术

语音合成，又称文语转换（Text to Speech）技术，是将人类语音用人工的方式所产生，能将任意文字信息实时转化为标准流畅的语音朗读出来，相当于给机器装上了人工嘴巴。它涉及声学、语言学、数字信号处理、计算机科学等多个学科技术，是信息处理领域的一项前沿技术，解决的主要问题就是如何将文字信息转化为可听的声音信息，也即让机器像人一样开口说话。

来源：张斌,全昌勤,任福继. 语音合成方法和发展综述

图像处理技术

图像处理是指对图像进行分析、加工和处理，使其满足视觉、心理或其他要求的技术。图像处理是信号处理在图像领域上的一个应用。目前大多数的图像均是以数字形式存储，因而图像处理很多情况下指数字图像处理。

来源：维基百科

对抗样本技术

对抗样本是一类被设计来混淆机器学习器的样本，它们看上去与真实样本的几乎相同（无法用肉眼分辨），但其中噪声的加入却会导致机器学习模型做出错误的分类判断。

来源：Goodfellow, I. J., Shlens, J., & Szegedy, C. (2014). Explaining and harnessing adversarial examples. arXiv preprint arXiv:1412.6572.

生成对抗网络技术

生成对抗网络是一种无监督学习方法，是一种通过用对抗网络来训练生成模型的架构。它由两个网络组成：用来拟合数据分布的生成网络G，和用来判断输入是否“真实”的判别网络D。在训练过程中，生成网络-G通过接受一个随机的噪声来尽量模仿训练集中的真实图片去“欺骗”D，而D则尽可能的分辨真实数据和生成网络的输出，从而形成两个网络的博弈过程。理想的情况下，博弈的结果会得到一个可以“以假乱真”的生成模型。

来源：Generative Adversarial Networks

腾讯机构

腾讯，1998年11月诞生于中国深圳，是一家以互联网为基础的科技与文化公司。我们的使命是“通过互联网服务提升人类生活品质”。腾讯秉承着 “一切以用户价值为依归”的经营理念，为亿万网民提供优质的互联网综合服务。腾讯的战略目标是“连接一切”，我们长期致力于社交平台与数字内容两大核心业务：一方面通过微信与QQ等社交平台，实现人与人、服务及设备的智慧连接；另一方面为数以亿计的用户提供优质的新闻、视频、游戏、音乐、文学、动漫、影业等数字内容产品及相关服务。我们还积极推动金融科技的发展，通过普及移动支付等技术能力，为智慧交通、智慧零售、智慧城市等领域提供有力支持。

http://www.tencent.com/