AIが作成した偽の顔をリバースエンジニアリングで、化けの皮を剥がした。

人工知能が作り出した実在しない人物の写真を、著作権の問題に巻き込まれることなく入手できる「This Person Does Not Exist」という人気サイトに対抗して、科学者チームは「This Person (Probably) Exists」と名付けた研究を行い、このようなツールが訓練された実際の人間の顔を明らかにしたと報告した。

これこそが、コンピュータの弱点かもしれない。

https://time-az.com/main/detail/75412

その論文によると、AIが生成した結果の多くは、GAN(Generative Adversarial Networks/生成敵性ネットワーク)に与えられた人間の写真の顔に酷似しており、AIの「写真」に写っている人物の仮面を剥ぐことが可能であるという。MITテクノロジーレビュー(MIT Technology Review)誌が、「結局のところ、アルゴリズムはこれらの画像に基づいて人間の顔がどのように見えるかを学習する。」と報じている。

このプロセスに着手するために、ライアン・ウェブスター(Ryan Webster)が率いるカエン・ノルマンディー大学のチーム(a team at the University of Caen Normandy)は、モデルがまったく新しい未見のデータと、何千回も繰り返し作業したであろう訓練済みのデータとを、どのように異なって扱うかを観察した。

https://www.youtube.com/watch?v=dCKbRCUyop8

そこで彼らは、見慣れた画像と見たことのない画像に対するAIの反応を区別する手がかりを特定し、その手がかりを使って画像が学習セットに属するかどうかを予測するようAIに教えるモデルを作成した。例えば、ある物体の名前を言うことはできても、慣れ親しんだデータに比べて信頼度は低いかもしれない。

さらにグループは、AI版のヒントとなった元の人間の写真を特定しただけでなく、別の顔認識AIの助けを借りて、同じ人物が写っていると思われる同じではない写真を追跡することにも成功した。

チームは、補正前と補正後の顔を比較できるようにした。

心配なのは、攻撃者がAIデータに侵入し、科学者がすでにAIのタッチで上書きされたと思い込んでいるような情報を入手してしまうことである。例えば、医療データで学習したモデルに第三者が入り込み、実際に病気になった人までさかのぼってしまう可能性がある。

一方でウェブスターは、アーティストがこの方法を使って、自分の作品が知らないうちにAIの訓練に使われていないかどうかを確認できると正当化している。
「著作権侵害の証拠として、我々のような方法を使うことができます。」と付け加えた。
さらに、研究者は自分のプロジェクトをこのようなシステムに通して、結果がトレーニングセットと似すぎていないかどうかを検証することができる。

Nvidia社の学習・知覚研究担当副社長であるヤン・カウツ(Jan Kautz)と彼の同僚は、画像を識別するためにモデルが通過するすべてのレイヤーを辿ろうとするアルゴリズムを開発した。モデルを途中で中断して方向を逆転させることで、AIは人気データセットImageNetの入力画像を忠実に模倣することができた。

ImageNetデータセットの写真（上）VS AIが逆変換した画像。スクリーンショット：Dong et al

Nvidiaのチームは、アルゴリズムが機密データを公開するのを阻止する方法を模索したいと考えている。

NFT(Non-Fungible Tokens/ノンファンジブル・トークン)で、多くのデジタル画像は公開されているが、それらで全てが著作権侵害や肖像権侵害を回避することは、至難の技になる。