来源:reddit
比利时的电信提供商面向青少年推出一款名叫“.comdom”的安全 App,可以为发送的照片加上接收者的信息作为水印,防止私密照片二次传播。但没想到短短几天就被一组研究人员破解了,完美复现原图,引发 reddit 网友热议。
先问个严肃的问题,你有没有收到过睡在你上铺的兄弟给你发来的不可描述照片?一项对 10300 名 18 岁以下青少年的调查表明,sexting 越来越普遍,15% 的青少年表示他们发过。在个别欧美国家,这一比例会更高,比如在比利时,有近 50% 的 15-21 岁青少年都干过这种事。
为了防止这些图片被滥用,比利时的电信提供商 Telenet 想了个办法,它与 Child Focus 合作推出了一个名叫“.comdom”的 App。看名字也知道,这个 App 能让青少年之间发送短信更安全。
简单来说,它可以给照片加水印。与常见的水印不同,它的水印包含照片接收者的姓名和电话号码。而且,水印覆盖了整个照片,用普通的图像编辑工具(例如 Photoshop)很难去除。这样一来,如果你发给对方的隐私照片被二次传播,每个人都会知道是谁干的了。通过这种方式,Telenet 希望可以降低隐私照片被二次传播的比例。
但是,加了水印就真的安全了吗?
一、水印被破解,AI 帮大忙
今天,一项破解此 App 的帖子登上了 reddit 最热榜:
安全 sexting App 无法抵挡 AI
短短几天内,几位来自比利时根特大学 IDLab-MEDIA 的研究人员开发了一种可自动去除水印的工具,同时保持较高的图像质量,并附上了他们的效果图:
使用 App 加水印后的图
使用他们的工具去掉水印后的图
是不是完美还原?如果说后一张图是原图相信很多人都会相信。他们是如何做到的呢?答案就是 AI。
这项除水印研究由根特大学 Peter Lambert 教授的 IDLab-MEDIA 研究小组的研究人员 Martijn Courteaux 和 Hannes Mareen 进行(上图中从左到右的三人)。研究人员可以很容易地找出应用程序是如何构造水印的。然后,他们将水印本身(以多种形式)应用于随机选取的数千张照片的集合中。最后,在此基础上,训练一个相对简单的人工智能算法(神经网络)来找出加水印的照片与其原始照片之间的关系,之后,这个算法便能够从该 App 拍摄的照片中去除水印。
“.comdom 的开发人员低估了现代 AI 技术的力量。”不过,研究人员表示,为了保护使用这个 App 的人,不会发布他们去除水印的软件。
二、去水印事小,社会意义重大!
表面上看,这是又一起“大学生成功破解商业应用”的案例,但其背后的社会意义却不容小视,尤其是 DeepFake 技术越来越成熟的今天。所以该新闻一登录 Reddit 立即引发社群用户关注和热议,我们先来看看大家对此事件都有什么想法。
DeepFake 的担忧:发照片不露脸也没”那么“安全了
从 App 开发者的角度来看,他们确实找到了一个可行的防止图片被普通用户二次传播的机制。然而在 AI 从业者看来,这个方式就显得有点小儿科。
Rhakae:我觉得这个所谓的“安全发送不可描述照片”的功能没意义好嘛?最有效的方式是 1)坚决不发;2)要发也别露脸。
MuonManLaserJab:除了 Rhakae 提到的两点,我觉得还有一个可能更有效的方式。致力于开发图像伪造软件,以至于你甚至能给老板发一段你自己的基情视频然后说“看,我做的这 DeepFake 多逼真!”。那么以后再有类似东西流出的话,大家就都没兴趣了。(简直是以毒攻毒至高境界!)
Dr_Thrax_Still_Does:不夸张地说,2020 年绝对会有一大波能实现头身互换功能的 App 甚至是网站,你懂得。而在足够多图片的投喂下,AI 甚至能做出极度接近真实细节的图片。
Kautiontape:不露脸虽然并不意味着彻底安全,但起码相对来说还是更安全一些。因为你没办法阻止所有人,但只要能阻止大多数就很不错了。这个项目的目的是完美去除水印。,那么我们是否可以认为可以对水印进行重构呢?
MuonManLaserJab:技术总是很难保持隐秘的,算法迟早会被人识破,有人可以反过来利用这项技术来做坏事。但我相信一个安全模型被人攻破的时候,会迫使技术开发新的升级模型。
schludy:下一步,去掉衣服!
AbsolutelyNotTim:毕生之追求。
睿智的网友正在分析背后的实现原理
LartTheLuser:他们需要使用一组秘密的特殊构造的小波基函数和与加密密钥相对应的一组小波权重的反向小波变换作为一组椭圆曲线的域参数,该组椭圆曲线的元素只有 .comdom 知道。它们使用多个椭圆曲线,可能有数百个椭圆,以防密钥泄漏,并且由于具有冗余性,它们可以随着时间的推移而循环。
然后,信号将逆小波变换与一些复杂的函数进行卷积,这些函数是通过对抗生成而生成的,这些函数具有非常强大的神经网络,可以对这些信号进行反卷积。
然后进行创建,以便 .comdom 应用程序通过运行上述过程的逆过程将图像加载到屏幕时,将水印动态添加到屏幕上。也就是说必须:1)运行强大的神经网络以对反生成的卷积信号进行反卷积。2)使用小波基函数的先验知识进行小波变换,并获得椭圆曲线权重的一些子集。3)使用特殊的专用椭圆曲线将各种椭圆曲线分解为分量,并验证该分量是有效的密钥,以及与图片水印内容的哈希对应的代码。最后使用该哈希值检索水印的内容并覆盖在图像上。
这样,只要在应用程序或其他参与的应用程序上显示已知图像,就会始终对其加水印。唯一的解决方法是解决一个非常困难的 AI 问题,一个非常困难的信号问题以及一个迄今为止无法破解的加密机制的复杂序列。我很确定,中央情报局和其他先进的情报机构用的就是这个机制。毫秒级图像去噪!英伟达、MIT 新 AI 系统完美去水印
其实,图片去水印并不是什么新鲜事。在 ICML2018 上,英伟达和 MIT 等机构的研究人员展示了一项图像降燥技术 Noise2Noise,能够自动去除图片中的水印、模糊等噪音,几乎能完美复原,而且渲染时间是毫秒级。
通过这种深度学习去噪方法,无需使用没有“噪声”的清晰图像,就能够实现完美去水印。效果如下:
团队使用了来自 ImageNet 数据集的 5 万张图像来训练其人工智能系统,该系统能够从图像中去除噪声,即使它从未见过没有噪声的对应图像。
这个名为“噪声到噪声”(Noise2Noise)的 AI 系统是使用深度学习创建的,它不是基于配对的清晰图像和噪声图像来训练网络,而是基于配对的噪声图像来训练网络,并且只需要噪声图像。计算机生成的图像和 MRI 扫描图像也被用来训练 Noise2Noise。
通过只使用噪声来训练 Noise2Noise,研究人员希望这种方法可以用于已知含有大量噪声的图像,比如天体摄影、核磁共振成像(MRI)或大脑扫描图像。
从左到右:输入的噪声图像、去噪图像、和原始图像
来自 IXI 数据集的 50 名人类受试者的近 5000 张图像被用于训练 Noise2Noise 的 MRI 图像去噪能力。在没有人工噪声的情况下,结果可能比原始图像稍微模糊一些,但仍然很好地还原了清晰度。
MRI 图像去噪
Nvidia 的研究人员 Jacob Munkberg 说:“这是一个概念证明,我们在一个公共核磁共振数据库上进行训练,但在未来,它可能会显示出在实际应用中的希望。”
Noise2Noise 系统通过使用一个神经网络来实现这一点,该神经网络使用有损的图像来训练。它不需要干净的图像,但它需要观察源图像两次。实验表明,受不同的合成噪声(加性高斯噪声、泊松噪声和 binomial 噪声)影响的目标图像仍能与使用干净样本恢复的图像有“几乎相同”的质量。该系统最令人兴奋的是,它可以显著减少图像渲染所需的时间——毫秒级别。
研究人员在论文中写道:“我们观察到,在适当的,常见的情况下,我们可以学习仅从损坏的示例重建信号,而无需观察干净的信号,并且其效果与使用干净样本一样好。如我们在下文所展示的,从统计角度来看,我们的结论可能是微不足道的,但在实践中,通过解除对清洁数据可用性的要求,这种方法显着简化了学习信号的重建。”
对于给照片加水印和去水印,你怎么看?
来自:
新智元(ID:AI_era)