Intelligenza Artificiale: PhotoGuard, il nuovo strumento del MIT che protegge le tue foto dalla manipolazione

E’ da qualche tempo che quando postiamo una foto sui social abbiamo, giustamente, qualche remora. Sopratutto quando riguarda la nostra famiglia.

Si tratta di un timore giustificato. Lo abbiamo letto anche su qualche articolo uscito sulla stampa generalista.

Attualmente infatti non c'è nulla che impedisca a qualcuno di prendere la foto e modificarla utilizzando sistemi generativi di intelligenza artificiale (IA). E grazie alla sofisticazione di questi sistemi, potrebbe essere impossibile dimostrare che l'immagine risultante sia falsa.

Il MIT mette a punto una tecnologia per proteggere le immagini personali

La buona notizia è che un nuovo strumento, creato dai ricercatori del MIT, potrebbe prevenire questo problema.

Lo strumento, che è stato chiamato PhotoGuard, funziona come uno scudo protettivo modificando le foto in modo microscopico, con delle mappature che sono invisibili all'occhio umano, e che impediscono che vengano manipolate. Se qualcuno cerca di utilizzare un'app di modifica basata su un modello generativo di IA come Stable Diffusion per manipolare un'immagine che è stata "immunizzata" da PhotoGuard, il risultato apparirà irreale o distorto.

Attualmente, "chiunque può prendere la nostra immagine, modificarla come vuole, metterci in situazioni molto brutte e ricattarci", afferma Hadi Salman, ricercatore di dottorato al MIT che ha contribuito alla ricerca.

PhotoGuard è "un tentativo di risolvere il problema delle nostre immagini manipolate maliziosamente da questi modelli", dice Salman. Lo strumento potrebbe, ad esempio, aiutare a prevenire che i selfie delle donne vengano trasformati in pornografia deepfake non consensuale.

Perchè si tratta di una soluzione, e non la soluzione alla manipolazione di immagini

La necessità di trovare modi per rilevare e fermare la manipolazione alimentata dall'IA è quanto mai diventata urgente, perché gli strumenti generativi di IA hanno reso questo processo più veloce e semplice che mai.

In un impegno volontario con la Casa Bianca, aziende leader nel campo dell'IA come OpenAI, Google e Meta si sono impegnate a sviluppare tali metodi in un tentativo di prevenire frodi e inganni. Vedi il nostro articolo “Sette aziende di Intelligenza Artificiale accettano misure di sicurezza dopo pressioni di Biden” in cui parliamo di questo accordo.

Ma questo accordo nell’era della digitalizzazione diffusa e a portata di mano non è sufficiente. Con Ingenio abbiamo affrontato più volte il tema dell’intelligenza artificiale.

Con l’articolo “Intelligenza artificiale "superintelligente": si studiano AI che controllano le AI” abbiamo per esempio raccontato di come OpenAI stia formando una nuova squadra per controllare l'intelligenza artificiale "superintelligente". L’obiettivo è quello di creare superintelligenze artificiali che controllino l’allineamento delle scelte “artificiali” ai valori umani.

Ma abbiamo letto anche articoli in cui si evidenzia come ancora non si sia una AI in grado di valutare se un testo è stato prodotto dall’intelligenza artificiale. E questo vale anche per le immagini.

PhotoGuard nasce da un principio antico, quello delle banconote

PhotoGuard è una tecnica complementare ad un'altra di queste tecniche, la filigrana: mira a impedire alle persone di utilizzare strumenti di IA per manipolare le immagini sin dall'inizio, mentre la filigrana utilizza segnali invisibili simili per permettere alle persone di rilevare contenuti generati dall'IA una volta che sono stati creati.

Il team del MIT ha utilizzato due tecniche diverse per impedire che le immagini vengano modificate utilizzando il modello di generazione di immagini open-source Stable Diffusion.

La prima tecnica è chiamata "encoder attack".

PhotoGuard aggiunge segnali impercettibili all'immagine in modo che il modello di IA la interpreti come qualcos'altro. Ad esempio, questi segnali potrebbero far categorizzare al modello di IA un'immagine di, diciamo, Trevor Noah come un blocco di grigio puro. Di conseguenza, qualsiasi tentativo di utilizzare Stable Diffusion per modificare Noah in altre situazioni apparirebbe poco convincente.

La seconda tecnica, più efficace, si chiama "diffusion attack".

Questa interrompe il modo in cui i modelli di IA generano immagini, essenzialmente codificandoli con segnali segreti che alterano il modo in cui sono elaborati dal modello. Aggiungendo questi segnali a un'immagine di Trevor Noah, il team è riuscito a manipolare il modello di diffusione per ignorare il suo prompt e generare l'immagine che i ricercatori desideravano. Di conseguenza, qualsiasi immagine modificata dall'IA di Noah apparirebbe solo grigia.

Fino a quando le immagini saranno protette?

Il lavoro è "una buona combinazione di un bisogno tangibile di qualcosa con ciò che può essere fatto adesso", ha affermato Ben Zhao, professore di informatica all'Università di Chicago, che ha sviluppato un metodo protettivo simile chiamato Glaze che gli artisti possono utilizzare per prevenire che il loro lavoro venga scaricato nei modelli di IA.

Strumenti come PhotoGuard cambiano l'economia e gli incentivi per gli aggressori rendendo più difficile l'utilizzo dell'IA in modi malintenzionati, afferma Emily Wenger, ricercatrice di Meta, che ha anche lavorato su Glaze e ha sviluppato metodi per prevenire il riconoscimento facciale.

"Più l'asticella è alta, meno sono le persone disposte o in grado di superarla", dice Wenger. Una sfida sarà vedere come questa tecnica si trasferisce ad altri modelli là fuori, dice Zhao. I ricercatori hanno pubblicato una demo online che permette alle persone di immunizzare le proprie foto, ma per ora funziona in modo affidabile solo su Stable Diffusion.

E mentre PhotoGuard può rendere più difficile la manipolazione di nuove immagini, non offre una protezione completa contro i deepfake, perché le vecchie immagini degli utenti potrebbero essere ancora disponibili per un uso improprio, e ci sono altri modi per produrre deepfake, afferma Valeriia Cherepanova, ricercatrice di dottorato all'Università del Maryland che ha sviluppato tecniche per proteggere gli utenti dei social media dal riconoscimento facciale.

In teoria, le persone potrebbero applicare questo scudo protettivo alle loro immagini prima di caricarle online, dice Aleksander Madry, professore al MIT che ha contribuito alla ricerca. Ma un approccio più efficace sarebbe quello che le aziende tecnologiche lo aggiungano automaticamente alle immagini che le persone caricano sulle loro piattaforme, aggiunge.

È tuttavia una corsa agli armamenti. Mentre si sono impegnate a migliorare i metodi di protezione, le aziende tecnologiche stanno ancora sviluppando nuovi, migliori modelli di IA a una velocità vertiginosa, e i nuovi modelli potrebbero essere in grado di annullare qualsiasi nuova protezione.

Lo scenario migliore sarebbe se le aziende che sviluppano modelli di IA fornissero anche un modo per le persone di immunizzare le loro immagini che funziona con ogni modello di IA aggiornato, afferma Salman.

Cercare di proteggere le immagini dalla manipolazione dell'IA alla fonte è un'opzione molto più valida rispetto all'utilizzo di metodi inaffidabili per rilevare la manipolazione dell'IA, afferma Henry Ajder, esperto di IA generativa e deepfake.

Qualsiasi piattaforma di social media o azienda di IA "deve pensare a proteggere gli utenti dall'essere presi di mira da pornografia [non consensuale] o dalle loro facce clonate per creare contenuti diffamatori", dice.

Le leggi sulla protezione delle immagini dall’elaborazione dell’intelligenza artificiale

AL momento il contenuto generato da AI non è protetto dalle leggi statunitensi sul copyright, ma solleva molte questioni legali.

I lavori creati esclusivamente da AI non sono tutelati, ma l'uso di materiali protetti da copyright per addestrare le AI è considerato legale, grazie alla legge sul "fair use".

La protezione del copyright per le opere che risultano da una collaborazione tra uomo e macchina dipende dalla quantità di controllo o influenza che l'autore umano ha avuto sugli output della macchina. Sono in corso molte cause legali che potrebbero modificare queste interpretazioni.

Insomma l’argomento è ancora “terra di nessuno”, e non basteranno soluzioni tecniche per affrontarlo, anche se - citando Ulrich Beck - ci rendiamo conto che l’appellarsi all’etica in questi casi “non è altro che un freno di bicicletta applicato a un jet intercontinentale”.

FONTE: MIT TECHNOLOGY REVIEW, glaze.cs.uchicago.edu/, Builtin.com