Il watermarking digitale può proteggerci dall’intelligenza artificiale generativa?

Di Alessio Perini 16 minuti di lettura
il-watermarking-digitale-puo-proteggerci-dall’intelligenza-artificiale-generativa?
Il watermarking digitale può proteggerci dall’intelligenza artificiale generativa?

La Casa Bianca di Biden ha recentemente adottato una legge il suo ultimo ordine esecutivo progettato per stabilire un quadro guida per lo sviluppo dell’intelligenza artificiale generativa, compresa l’autenticazione dei contenuti e l’uso di filigrane digitali per indicare quando le risorse digitali realizzate dal governo federale sono generate dal computer. Ecco come questa e simili tecnologie di protezione dalla copia potrebbero aiutare i creatori di contenuti ad autenticare in modo più sicuro i loro lavori online in un’era di disinformazione generativa dell’intelligenza artificiale.

Una breve storia della filigrana

Le tecniche di filigrana analogica furono sviluppate per la prima volta in Italia nel 1282. I fabbricanti di carta impiantavano fili sottili nello stampo di carta, creando aree quasi impercettibilmente più sottili del foglio che diventavano evidenti se tenuto contro una luce. Non solo le filigrane analogiche venivano utilizzate per autenticare dove e come venivano prodotti i prodotti di un’azienda, ma i marchi potevano anche essere sfruttati per trasmettere messaggi nascosti e codificati. Nel XVIII secolo, la tecnologia si era diffusa fino all’uso da parte del governo come mezzo per prevenire la contraffazione valutaria. Nello stesso periodo furono sviluppate le tecniche di filigrana a colori, che inseriscono materiali tinti tra strati di carta.

Sebbene il termine “filigrana digitale” sia stato coniato solo nel 1992, la tecnologia alla base è stata la prima brevettato dalla Muzac Corporation nel 1954. Il sistema che costruirono, e che usarono fino alla vendita dell’azienda negli anni ’80, identificava la musica di proprietà di Muzac utilizzando un “filtro notch” per bloccare il segnale audio a 1 kHz in raffiche specifiche, come il codice Morse, per memorizzare informazioni di identificazione.

Le società di monitoraggio della pubblicità e di misurazione dell’audience come la Nielsen Company utilizzano da tempo tecniche di watermarking per taggare le tracce audio dei programmi televisivi per monitorare e capire cosa guardano le famiglie americane. Questi metodi steganografici si sono fatti strada anche nel moderno standard Blu-Ray (il sistema Cinavia), nonché in applicazioni governative come l’autenticazione patenti di guida, valute nazionali e altri documenti sensibili. La società Digimarc, ad esempio, lo ha fatto ha sviluppato una filigrana per l’imballaggio che stampa il codice a barre di un prodotto in modo quasi invisibile su tutta la scatola, consentendo a qualsiasi scanner digitale in linea di vista di leggerlo. È stato utilizzato anche in applicazioni che vanno da anticontraffazione del marchio A maggiore efficienza nel riciclaggio dei materiali.

Il qui e ora

La moderna filigrana digitale funziona secondo gli stessi principi, incorporando impercettibilmente informazioni aggiuntive su un contenuto (sia esso immagine, video o audio) utilizzando uno speciale software di codifica. Queste filigrane sono facilmente leggibili dalle macchine ma sono in gran parte invisibili agli utenti umani. La pratica differisce dalle protezioni crittografiche esistenti come codici prodotto o dongle di protezione software in quanto le filigrane non impediscono attivamente l’alterazione o la duplicazione non autorizzata di un contenuto, ma piuttosto forniscono una registrazione dell’origine del contenuto o chi è il detentore del copyright.

Il sistema, tuttavia, non è perfetto. “Non c’è nulla, letteralmente nulla, che protegga le opere protette da copyright dalla formazione [by generative AI models]tranne la parola non verificabile e inapplicabile delle aziende di intelligenza artificiale”, ha detto a Engadget via e-mail il dottor Ben Zhao, professore di informatica Neubauer presso l’Università di Chicago.

“Non esistono metodi crittografici o normativi per proteggere le opere protette da copyright – nessuno,” Egli ha detto. “Le liste di opt-out sono state ridicolizzate stabilità.ai (Essi ha cambiato il nome del modello in SDXL per ignorare tutti coloro che si sono iscritti per rinunciare a SD 3.0) e Facebook/Meta, che hanno risposto agli utenti sulla loro recente rinuncia elenco con un messaggio che diceva ‘non puoi dimostrare di essere già stato addestrato al nostro modello, quindi non puoi rinunciare.’”

Zhao afferma che mentre l’ordine esecutivo della Casa Bianca è “ambizioso e copre un terreno enorme”, i piani presentati fino ad oggi dalla Casa Bianca sono carenti di “dettagli tecnici su come raggiungere effettivamente gli obiettivi prefissati”.

Egli osserva che “ci sono molte aziende che non sono sottoposte a pressioni normative o legali per preoccuparsi di filigranare la loro produzione genAI. Le misure volontarie non funzionano in un contesto contraddittorio in cui le parti interessate sono incentivate a evitare o aggirare le normative e la supervisione”.

“Piaccia o no, le società commerciali sono progettate per fare soldi, ed è nel loro interesse evitare le normative”, ha aggiunto.

Potremmo anche vedere molto facilmente la prossima amministrazione presidenziale entrare in carica e smantellare l’ordine esecutivo di Biden e tutta l’infrastruttura federale che è stata coinvolta nella sua attuazione, dal momento che un ordine esecutivo non ha il valore costituzionale della legislazione del Congresso. Ma non contare nemmeno sul fatto che Camera e Senato facciano qualcosa riguardo alla questione.

“Il Congresso è profondamente polarizzato e persino disfunzionale al punto che è molto improbabile che produca una legislazione significativa sull’intelligenza artificiale nel prossimo futuro”, ha detto Anu Bradford, professore di diritto alla Columbia University. Revisione tecnica del MIT. Finora, i meccanismi di applicazione di questi schemi di watermarking si sono generalmente limitati a pinky giura sui principali attori del settore.

Come funzionano le credenziali del contenuto

Con gli ingranaggi del governo che girano così lentamente, le alternative del settore si stanno rivelando necessarie. Hanno iniziato Microsoft, il New York Times, CBC/Radio-Canada e la BBC Origine del progetto nel 2019 per proteggere l’integrità dei contenuti, indipendentemente dalla piattaforma su cui vengono consumati. Allo stesso tempo, Adobe e i suoi partner hanno lanciato il Iniziativa sull’autenticità dei contenuti (CAI), affrontando la questione dal punto di vista del creatore. Alla fine CAI e Project Origin hanno unito i loro sforzi per creare il Coalizione per la provenienza e l’autenticità dei contenuti (C2PA). Da questa coalizione di coalizioni derivano le credenziali di contenuto (“CR” in breve), che Adobe ha annunciato al suo evento Max nel 2021.

CR allega ulteriori informazioni su un’immagine ogni volta che viene esportata o scaricata sotto forma di manifest crittograficamente sicuro. Il manifest estrae i dati dall’immagine o dall’intestazione del video: le informazioni dell’autore, dove è stata scattata, quando è stata scattata, quale dispositivo l’ha scattata, se sono stati utilizzati sistemi di intelligenza artificiale generativa come DALL-E o Stable Diffusion e quali modifiche sono state apportate da allora. — consentire ai siti web di verificare tali informazioni rispetto alle dichiarazioni sulla provenienza contenute nel manifest. Se combinato con la tecnologia watermarking, il risultato è un metodo di autenticazione unico che non può essere facilmente rimosso come EXIF ​​e metadati (ovvero i dettagli tecnici aggiunti automaticamente dal software o dal dispositivo che ha acquisito l’immagine) quando caricati sui siti di social media (a causa del firma del file crittografico). Non diversamente dalla tecnologia blockchain!

I metadati in genere non sopravvivono ai flussi di lavoro comuni poiché i contenuti vengono mescolati su Internet perché, ha spiegato Ken Sickles, Chief Product Officer di Digimarc, a Engadget, molti sistemi online non sono stati costruiti per supportarli o leggerli e quindi semplicemente ignorano i dati.

“L’analogia che abbiamo usato in passato è quella di una busta”, ha detto a Engadget Tony Rodriguez, Chief Technology Officer di Digimarc. Come in una busta, il contenuto prezioso che desideri inviare viene inserito all’interno ed è lì che si trova la filigrana. In realtà fa parte dei pixel, dell’audio, di qualunque cosa sia quel media. I metadati, tutte le altre informazioni, vengono scritte all’esterno della busta”.

Se qualcuno dovesse riuscire a rimuovere la filigrana (si scopre, non così difficilebasta fare uno screenshot dell’immagine e ritagliare l’icona) le credenziali possono essere ricollegate Verificare, che esegue algoritmi di visione artificiale rispetto a un’immagine caricata per trovare corrispondenze nel suo repository. Se l’immagine caricata può essere identificata, le credenziali vengono riapplicate. Se un utente incontra il contenuto dell’immagine in natura, può verificare le proprie credenziali facendo clic sull’icona CR per visualizzare il manifest completo e verificare personalmente le informazioni e prendere una decisione più informata su quale contenuto online fidarsi.

Sickles immagina che questi sistemi di autenticazione operino a livelli di coordinamento, come un sistema di sicurezza domestica che accoppia serrature e catenacci con telecamere e sensori di movimento per aumentare la sua copertura. “Questa è la bellezza delle credenziali di contenuto e delle filigrane insieme”, ha affermato Sickles. “Diventano un sistema molto, molto più forte come base per l’autenticità e la comprensione della provenienza di un’immagine” rispetto a quanto lo sarebbero individualmente.” Digimarc distribuisce gratuitamente il suo strumento di rilevamento delle filigrane a sviluppatori di intelligenza artificiale generativa e sta integrando lo standard Content Credentials nella sua versione esistente Convalidare piattaforma di protezione dalla copia online.

In pratica, stiamo già vedendo lo standard incorporato in prodotti commerciali fisici come la Leica M11-P che apporrà automaticamente una credenziale CR alle immagini man mano che vengono scattate. IL New York Times ha esplorato il suo utilizzo in attività giornalisticheReuters lo ha impiegato per il suo ambizioso lungometraggio 76 Days e Microsoft lo ha aggiunto anche a Bing Image Creator e al chatbot Bing AI. Secondo quanto riferito, Sony sta lavorando per incorporare lo standard nel suo Fotocamere digitali Alpha 9 III, con l’abilitazione degli aggiornamenti firmware dei modelli Alpha 1 e Alpha 7S III in arrivo nel 2024. CR è disponibile anche nella vasta suite Adobe di strumenti di editing di foto e video, tra cui Illustrator, Adobe Express, Stock e Behance. L’intelligenza artificiale generativa dell’azienda, Lucciolaincluderà automaticamente informazioni non personali in una CR per alcune funzionalità come il riempimento generativo (sostanzialmente notando che la funzionalità generativa è stata utilizzata, ma non da chi), ma verrà altrimenti attivata.

Detto questo, lo standard C2PA e le credenziali di contenuto front-end sono appena fuori sviluppo e attualmente estremamente difficili da trovare sui social media. “Penso che dipenda davvero dall’adozione su larga scala di queste tecnologie e dal luogo in cui vengono adottate; sia dal punto di vista di allegare le credenziali del contenuto che di inserire la filigrana per collegarli”, ha affermato Sickles.

Nightshade: l’alternativa CR mortale per i database

Alcuni ricercatori di sicurezza hanno avuto abbastanza attesa che le leggi venissero scritte o gli standard di settore mettessero radici e hanno invece preso in mano la protezione dalla copia. I team del SAND Lab dell’Università di Chicago, ad esempio, hanno sviluppato un paio di sistemi di protezione dalla copia decisamente dannosi da utilizzare specificamente contro le IA generative.

Zhao e il suo team hanno sviluppato Glaze, un sistema per creatori che sconvolge lo stile di mimetismo dell’intelligenza artificiale generativa (sfruttando il concetto di esempi contraddittori). Può modificare i pixel di una determinata opera d’arte in un modo che non è rilevabile dall’occhio umano ma che appare radicalmente diverso da un sistema di visione artificiale. Quando un sistema di intelligenza artificiale generativa viene addestrato su queste immagini “smaltate”, diventa incapace di replicare esattamente lo stile artistico previsto: il cubismo diventa fumettistico, gli stili astratti si trasformano in anime. Questo potrebbe rivelarsi un vantaggio ad artisti noti e spesso imitati soprattutto, nel mantenere commercialmente sicuri i loro stili artistici di marca.

Mentre Glaze si concentra su azioni preventive per deviare gli sforzi dei data scraper illeciti, il nuovo strumento di SAND Lab è decisamente punitivo. Soprannominato Belladonnail sistema modificherà leggermente i pixel in una determinata immagine ma invece di confondere i modelli con cui è stato addestrato come fa Glaze, l’immagine avvelenata corromperà il database di addestramento in cui è stato importato all’ingrosso, costringendo gli sviluppatori a tornare indietro e rimuovere manualmente ogni immagine dannosa per risolvere il problema, altrimenti il ​​sistema si riqualifica semplicemente sui dati errati e presenta nuovamente gli stessi problemi.

Lo strumento è inteso come “ultima risorsa” per i creatori di contenuti, ma non può essere utilizzato come vec tore d’attacco. “Questo equivale a mettere della salsa piccante nel pranzo perché qualcuno continua a rubarla dal frigorifero”, ha affermato Zhao.

Zhao ha poca simpatia per i proprietari di modelli danneggiati da Nightshade. “Le aziende che aggirano intenzionalmente gli elenchi di opt-out e le direttive di non-scrape sanno cosa stanno facendo”, ha affermato. “Non sono previsti download e formazione ‘accidentali’ sui dati. Ci vuole molto lavoro e piena intenzione per prendere il contenuto di qualcuno, scaricarlo e allenarsi su di esso.

Questo articolo contiene collegamenti di affiliazione; se fai clic su tale collegamento ed effettui un acquisto, potremmo guadagnare una commissione.

TAGGATO:
Condividi questo articolo
Exit mobile version