25、对抗性扰动：深度伪造的有效“刹车”

对抗性扰动：深度伪造的有效“刹车”

在当今数字化时代，深度伪造（DeepFakes）技术的发展既带来了创新的可能性，也引发了诸多安全和伦理问题。为了应对这一挑战，我们可以通过干扰人脸识别和面部特征点提取来阻碍深度伪造的生成。下面将详细介绍相关的技术方法和实验结果。

攻击人脸识别器

为了干扰人工智能面部合成模型的训练，我们针对人脸识别器开发了对抗性扰动生成方法，具体分为白盒、灰盒和黑盒三种情况。
- 白盒对抗性扰动生成 ：
- 问题定义 ：对于图像 $I$，我们希望找到一个扰动图像 $I’ = I + z$，使得在经过相同的基于深度神经网络（DNN）的人脸识别器处理时，$I’$ 比 $I$ 有更多的误检测和误报。具体来说，就是要找到 $z$，降低原始检测集 $D(I)$ 中的预测分数，同时提高 $P(I)/D(I)$ 中提案的预测分数。
- 目标函数 ：
[
\max_{|z| 2\leq\epsilon} \sum {b\in D(I)} \log(1 - F((I + z)(b))) + \sum_{b\in \tilde{P}(I)} \log F((I + z)(b))
]
其中，$F$ 是人脸识别器的骨干网络，$\tilde{P}(I) = {b|b \in P(I)/D(I) \land F(I(b)) \in [\theta_p, \theta_d)}$ 是非面部区域的候选集，$\theta_p$ 是为了避免在无结构区域添加对抗性扰动。
- 求解方法