Các nhà nghiên cứu đã thử nghiệm hình mờ AI—và phá vỡ tất cả chúng

Soheil Feizi cân nhắc bản thân là một người lạc quan. Nhưng giáo sư khoa học máy tính của Đại học Maryland lại thẳng thắn khi tổng hợp tình trạng hiện tại của hình ảnh AI tạo hình mờ. “Tại thời điểm này, chúng tôi không có bất kỳ hình mờ đáng tin cậy nào,” ông nói. “Chúng tôi đã phá vỡ tất cả chúng.”

Đối với một trong hai loại hình mờ AI mà anh ấy đã thử nghiệm cho một nghiên cứu mới—hình mờ “nhiễu loạn thấp”, không thể nhìn thấy bằng mắt thường—anh ấy thậm chí còn thẳng thắn hơn: “Không còn hy vọng”.

Feizi và các đồng tác giả đã xem xét việc những kẻ xấu có thể dễ dàng trốn tránh các nỗ lực đóng dấu chìm như thế nào. (Anh ấy gọi nó là “xóa sạch” hình mờ.) Ngoài việc chứng minh cách kẻ tấn công có thể xóa hình mờ, nghiên cứu còn cho thấy cách có thể thêm hình mờ vào hình ảnh do con người tạo ra, gây ra kết quả dương tính giả. Được phát hành trực tuyến trong tuần này, bản in trước vẫn chưa được bình duyệt, nhưng Feizi đã là nhân vật hàng đầu trong lĩnh vực phát hiện AI, vì vậy nó đáng được chú ý, ngay cả ở giai đoạn đầu này.

Đó là nghiên cứu kịp thời. Hình mờ đã nổi lên như một trong những chiến lược hứa hẹn hơn để xác định hình ảnh và văn bản do AI tạo ra. Giống như hình mờ vật lý được nhúng trên tiền giấy và tem để chứng minh tính xác thực, hình mờ kỹ thuật số có mục đích truy tìm nguồn gốc của hình ảnh và văn bản trực tuyến, giúp mọi người phát hiện các video giả mạo sâu và sách do bot tác giả. Với cuộc bầu cử tổng thống Hoa Kỳ sắp diễn ra vào năm 2024, mối lo ngại về các phương tiện truyền thông bị thao túng là rất cao — và một số người đã bị lừa. Chẳng hạn, cựu tổng thống Mỹ Donald Trump, đã chia sẻ một video giả mạo về Anderson Cooper trên nền tảng Truth Social của anh ấy; Giọng nói của Cooper đã được nhân bản AI.

Mùa hè này, OpenAI, Alphabet, Meta, Amazon và một số công ty AI lớn khác đã cam kết phát triển công nghệ hình mờ để chống lại thông tin sai lệch. Vào cuối tháng 8, DeepMind của Google đã phát hành phiên bản beta của công cụ tạo hình mờ mới, SynthID. Hy vọng rằng những công cụ này sẽ gắn cờ nội dung AI khi nó được tạo ra, giống như cách đánh dấu hình mờ vật lý xác thực đồng đô la khi chúng được in.

Đó là một chiến lược vững chắc, đơn giản nhưng có thể không mang lại chiến thắng. Nghiên cứu này không phải là công trình duy nhất chỉ ra những thiếu sót lớn của thủy vân. Hany Farid, giáo sư tại Trường Thông tin UC Berkeley, cho biết: “Việc tạo hình mờ có thể dễ bị tấn công”.

Tháng 8 này, các nhà nghiên cứu tại Đại học California, Santa Barbara và Carnegie Mellon đã đồng tác giả một bài báo khác trình bày những phát hiện tương tự, sau khi tiến hành các cuộc tấn công thử nghiệm của riêng họ. “Tất cả các hình mờ vô hình đều dễ bị tấn công,” nó đọc. Nghiên cứu mới nhất này thậm chí còn đi xa hơn. Trong khi một số nhà nghiên cứu nuôi hy vọng rằng các hình mờ nhìn thấy được (“có độ nhiễu cao”) có thể được phát triển để chống lại các cuộc tấn công, Feizi và các đồng nghiệp của ông nói rằng ngay cả loại hình mờ hứa hẹn hơn này cũng có thể bị thao túng.

Những sai sót trong kỹ thuật tạo hình chìm mờ đã không ngăn cản những gã khổng lồ công nghệ đưa ra giải pháp này, nhưng những người làm việc trong lĩnh vực phát hiện AI lại cảnh giác. Ben Colman, Giám đốc điều hành của công ty khởi nghiệp phát hiện AI Reality Defender cho biết: “Hình mờ thoạt nghe có vẻ là một giải pháp cao quý và đầy hứa hẹn, nhưng các ứng dụng trong thế giới thực của nó đã thất bại ngay từ đầu khi chúng có thể dễ dàng bị làm giả, xóa hoặc bỏ qua”.

Bars Juhasz, người đồng sáng lập của Un detectable, một công ty khởi nghiệp chuyên giúp đỡ mọi người tránh các máy dò AI, cho biết thêm: “Hình mờ không hiệu quả”. “Toàn bộ các ngành công nghiệp, chẳng hạn như của chúng tôi, đã nổi lên để đảm bảo rằng nó không hiệu quả.” Theo Juhasz, các công ty như của ông đã có khả năng cung cấp dịch vụ loại bỏ hình mờ nhanh chóng.

Những người khác cho rằng hình mờ có vai trò trong việc phát hiện AI—miễn là chúng ta hiểu được những hạn chế của nó. Farid nói: “Điều quan trọng là phải hiểu rằng không ai nghĩ rằng chỉ riêng hình mờ là đủ”. “Nhưng tôi tin rằng hình mờ mạnh mẽ là một phần của giải pháp.” Ông cho rằng việc cải tiến kỹ thuật tạo hình mờ và sau đó sử dụng nó kết hợp với các công nghệ khác sẽ khiến những kẻ xấu khó tạo ra những hàng giả thuyết phục hơn.

Một số đồng nghiệp của Feizi cho rằng kỹ thuật đóng dấu chìm cũng có vai trò của nó. Yuxin Wen, nghiên cứu sinh tiến sĩ tại Đại học Maryland, đồng tác giả một bài báo gần đây đề xuất một kỹ thuật tạo hình chìm mờ mới, cho biết: “Việc đây có phải là một đòn giáng mạnh vào hình mờ hay không phụ thuộc rất nhiều vào các giả định và hy vọng đặt hình mờ như một giải pháp”. Đối với Wen và các đồng tác giả của ông, bao gồm cả giáo sư khoa học máy tính Tom Goldstein, nghiên cứu này là cơ hội để xem xét lại những kỳ vọng đặt vào thủy ấn, chứ không phải là lý do để loại bỏ việc sử dụng nó như một công cụ xác thực trong số nhiều công cụ xác thực.

Goldstein nói: “Sẽ luôn có những kẻ tinh vi có khả năng trốn tránh sự phát hiện. “Sẽ ổn thôi nếu có một hệ thống chỉ có thể phát hiện một số thứ.” Anh ấy coi hình mờ là một hình thức giảm thiểu tác hại và hữu ích để phát hiện các hành vi giả mạo AI ở cấp độ thấp hơn, ngay cả khi nó không thể ngăn chặn các cuộc tấn công cấp cao.

Việc giảm bớt kỳ vọng này có thể đã xảy ra. Trong bài đăng trên blog công bố SynthID, DeepMind cẩn thận phòng ngừa các vụ cá cược của mình, ghi nhận rằng công cụ này “không thể hoàn hảo” và “không hoàn hảo”.

Feizi phần lớn hoài nghi ý tưởng cho rằng hình mờ là một cách sử dụng tài nguyên hiệu quả cho các công ty như Google. Ông nói: “Có lẽ chúng ta nên làm quen với thực tế là chúng ta sẽ không thể gắn cờ những hình ảnh do AI tạo ra một cách đáng tin cậy”.

Tuy nhiên, bài báo của ông có kết luận nhẹ nhàng hơn một chút. “Dựa trên kết quả của chúng tôi, việc thiết kế một hình mờ mạnh mẽ là một nhiệm vụ đầy thách thức nhưng không hẳn là không thể”, nó viết.