![\"\"](\"https:\/\/haimagazine.com\/wp-content\/uploads\/2024\/09\/Zrzut-ekranu-2024-08-12-o-22.04.10.png\")
Rys. 1. Villalobos et al (2022), Will We Run out of Data? Limits of LLM Scaling Based on Human-Generated Data, arXiv. (\u017ar\u00f3d\u0142o<\/a>)<\/em><\/p>
Ju\u017c teraz pojawia si\u0119 problem z danymi ludzkimi, kt\u00f3re s\u0105 zanieczyszczane tre\u015bciami wytworzonymi przez modele generatywne. A przy ich obecnym tempie przyrostu istnieje realne ryzyko istotnego \u201ekanibalizmu\u201d w kolejnych generacjach. A kiedy modele \u017cywi\u0105 si\u0119 w\u0142asnymi dzie\u0107mi, ich jako\u015b\u0107 leci na \u0142eb na szyj\u0119. <\/p>
Nic dziwnego, \u017ce najwi\u0119ksi gracze wpadaj\u0105 w desperacj\u0119 i zaczynaj\u0105 zbiera\u0107 wszystko, co wpadnie im w r\u0119ce. Formalnie, dzi\u0119ki RODO, mieszka\u0144cy Unii Europejskiej s\u0105 w niezwykle komfortowej sytuacji. Alphabet, Meta i inne wielkie sp\u00f3\u0142ki zosta\u0142y zmuszone do uzyskania zgody przed pozyskaniem materia\u0142\u00f3w swoich u\u017cytkownik\u00f3w. Oczywi\u015bcie odmowa wcale nie jest \u0142atwa i odbywa si\u0119 wed\u0142ug modelu opt-out (tzn. automatycznie si\u0119 zgadzamy, dopiero w przeciwnym razie trzeba samodzielnie podj\u0105\u0107 akcj\u0119 wypisania si\u0119). Jednak poza UE i UK u\u017cytkownik nie ma mo\u017cliwo\u015bci wyrazi\u0107 tego symbolicznego sprzeciwu.<\/p> Ale nawet gdyby mia\u0142, to kontrola nieautoryzowanych \u017ar\u00f3de\u0142 danych treningowych w praktyce jest obecnie nieosi\u0105galna. Nie da si\u0119 jej przeprowadzi\u0107 na modelach, kt\u00f3re nie by\u0142y monitorowane w trakcie treningu, a przynajmniej nie z pewno\u015bci\u0105, kt\u00f3r\u0105 da\u0142oby si\u0119 obroni\u0107 w s\u0105dzie. Danych jest po prostu zbyt du\u017co, a metody poszlakowe zbyt toporne (por. przegl\u0105d aktualnych metod i propozycja protoko\u0142u weryfikacji treningu)<\/a><\/strong><\/mark>. I bran\u017ca doskonale zdaje sobie z tego spraw\u0119, co wida\u0107 cho\u0107by po kontrowersji dotycz\u0105cej OpenAI i wykorzystania artyku\u0142\u00f3w \u201eNew York Timesa\u201d. Brak takiej zgody nie jest te\u017c \u017cadnym zabezpieczeniem przeciw zbieraj\u0105cym dane, kt\u00f3rzy legalno\u015bci\u0105 w og\u00f3le si\u0119 nie przejmuj\u0105.<\/p> Walka z nieuprawnionym wykorzystaniem materia\u0142\u00f3w graficznych przypomina zwalczanie szkodnik\u00f3w lub gatunk\u00f3w inwazyjnych. Liczne metody i podej\u015bcia mo\u017cna dla uproszczenia podzieli\u0107 na dwie kategorie: zabezpieczanie interesuj\u0105cej nas populacji (konkretnych plik\u00f3w istotnych z punktu widzenia bezpiecze\u0144stwa i prywatno\u015bci) albo d\u0142ugofalowe wyniszczanie drapie\u017cnik\u00f3w tak, aby na sta\u0142e os\u0142abi\u0107 ich skuteczno\u015b\u0107.<\/p> Post\u0119p technologiczny i badawczy ostatnich miesi\u0119cy dostarczy\u0142 nam narz\u0119dzi, kt\u00f3re umo\u017cliwiaj\u0105 opracowanie procedury prewencyjnej wobec zagro\u017ce\u0144 zwi\u0105zanych z deepfake\u2019ami, kt\u00f3re maj\u0105 zapobiega\u0107 ich tworzeniu. Szczeg\u00f3lnie obiecuj\u0105ca i gotowa do szybkiego zastosowania jest tzw. metoda immunizacji.<\/a><\/mark><\/strong><\/p> Procedura immunizacji polega na wprowadzeniu do obrazu niewidocznych ludzkim okiem perturbacji, kt\u00f3re zak\u0142\u00f3caj\u0105 dzia\u0142anie latentnych modeli dyfuzyjnych i tym samym uniemo\u017cliwiaj\u0105 \u0142atwe (zero-shot) przeprowadzanie realistycznych manipulacji. Salman ze swoim zespo\u0142em (2023) zaproponowali dwa podej\u015bcia do immunizacji obraz\u00f3w: atak enkodera i atak dyfuzyjny.<\/strong><\/p> Latentny Model Dyfuzyjny stosowany do obrazu najpierw koduje go za pomoc\u0105 enkodera do reprezentacji latentnej, kt\u00f3ra u\u017cywana jest do generowania nowego obrazu. Atak ma zak\u0142\u00f3ci\u0107 ten proces poprzez zmuszenie enkodera do mapowania wej\u015bciowego obrazu na \u201eniew\u0142a\u015bciw\u0105\u201d reprezentacj\u0119. Innymi s\u0142owy: wprowadzone zak\u0142\u00f3cenia obni\u017caj\u0105 zdolno\u015bci predykcyjne modelu w zakresie rozpoznawania wytrenowanych wcze\u015bniej kategorii (za pomoc\u0105 metody PGD, czyli Projected Gradient Descent, zgodnej z obecnym stanem techniki w dziedzinie atak\u00f3w adwersaryjnych). Ten spos\u00f3b rozwi\u0105zania problemu optymalizacyjnego daje ma\u0142e, niewidoczne zak\u0142\u00f3cenia, kt\u00f3re dodane do oryginalnego obrazu powoduj\u0105, \u017ce model dyfuzyjny generuje nierealistyczny lub niezwi\u0105zany z promptem wynik. W tym podej\u015bciu celem jest zak\u0142\u00f3cenie tekstowej reprezentacji element\u00f3w obrazu wyj\u015bciowego, aby podst\u0119pem sk\u0142oni\u0107 model do wykorzystania niew\u0142a\u015bciwych kategorii w procesie dyfuzji.<\/p> Atak dyfuzyjny jest bardziej z\u0142o\u017cony i polega na zak\u0142\u00f3ceniu tak\u017ce procesu dyfuzji. To podej\u015bcie r\u00f3wnie\u017c korzysta z PGD do optymalizacji. Atak ten pr\u00f3buje zak\u0142\u00f3ci\u0107 nie tylko dob\u00f3r kategorii do immunizowanego obrazu na podstawie promptu, ale r\u00f3wnie\u017c wp\u0142yw samego promptu na proces dyfuzji. W tym ataku, plik wej\u015bciowy jest perturbowany w taki spos\u00f3b, \u017ce ostateczny obraz wygenerowany przez model dyfuzyjny upodabnia si\u0119 do wprowadzonej maski (np. do losowego szumu lub szarego pola).<\/p> Techniki te s\u0105 skuteczne w zak\u0142\u00f3caniu realistycznych modyfikacji obraz\u00f3w przez modele dyfuzyjne, czyni\u0105c je mniej u\u017cytecznymi w przekonuj\u0105cej manipulacji przestrzeni\u0105 informacyjn\u0105. To z kolei zwi\u0119ksza koszt potencjalnej manipulacji. W przypadku utrudnienia u\u017cycia modeli dyfuzyjnych konieczne staje si\u0119 u\u017cycie GAN-\u00f3w (Generative Adversarial Network) lub innych, mniej zbadanych, a bardziej z\u0142o\u017conych modeli generatywnych. Trenowanie GAN-\u00f3w jest trudne ze wzgl\u0119du na skomplikowany proces znajdowania r\u00f3wnowagi mi\u0119dzy generatorem a dyskryminatorem. Modele GAN s\u0105 podatne m.in. na zjawisko \u201emode collapse\u201d, kt\u00f3re polega na tym, \u017ce generator odkrywa w\u0105ski podzbi\u00f3r podobnych do siebie rezultat\u00f3w o wysokiej skuteczno\u015bci w konfundowaniu dyskryminatora, w wyniku czego przestaje produkowa\u0107 zr\u00f3\u017cnicowane wyj\u015bcia.<\/p> Narz\u0119dzia utrudniaj\u0105ce tworzenie deepfake\u2019\u00f3w poprzez zaburzanie dost\u0119pu kolejnych iteracji modeli do zdrowych danych zaczynaj\u0105 powoli wchodzi\u0107 do mainstreamu. Pierwszym takim programem stworzonym z my\u015bl\u0105 o u\u017cytkowniku niekoniecznie sp\u0119dzaj\u0105cym ca\u0142e dnie na arXiv by\u0142 Glaze autorstwa SAND (Security, Algorithms, Networks and Data) Lab na Uniwersytecie w Chicago. Glaze powsta\u0142 z my\u015bl\u0105 o utrudnianiu tzw. atak\u00f3w na\u015bladowania stylu, czyli \u2013 innymi s\u0142owy \u2013 fine-tuningu du\u017cych modeli w celu transferu stylu z konkretnego podzbioru obraz\u00f3w. Dlatego jest to narz\u0119dzie nastawione na wykorzystanie przez indywidualnych tw\u00f3rc\u00f3w. Jego skuteczno\u015b\u0107 b\u0119dzie mierzalna ju\u017c w kr\u00f3tkim i \u015brednim okresie.<\/p> W tym roku do\u0142\u0105czy\u0142 do niego Nightshade, wypuszczony przez ten sam zesp\u00f3\u0142. Stoj\u0105ce za nim za\u0142o\u017cenia s\u0105 d\u0142ugofalowe i bardziej agresywne. Nastawione s\u0105 na zepsucie puli dost\u0119pnych danych treningowych potrzebnych do kolejnych iteracji du\u017cych modeli. To narz\u0119dzie to przyk\u0142ad niezwykle obiecuj\u0105cej partyzantki w dziedzinie uczenia maszynowego. Nie pomo\u017ce co prawda artystom, kt\u00f3rzy potrzebuj\u0105 ochrony tu i teraz, ale w \u015brednim i d\u0142ugim horyzoncie czasowym mo\u017ce by\u0107 nieocenione. Daje nadziej\u0119 na spowodowanie znacz\u0105cych utrudnie\u0144 w trenowaniu modeli generatywnych na reprezentacjach dzie\u0142 sztuki pozyskanych bez poszanowania praw autorskich tw\u00f3rc\u00f3w. Na ile potwierdzi si\u0119 skuteczno\u015b\u0107 tego konkretnego rozwi\u0105zania \u2013 nie wiadomo. Wiele zale\u017cy od tego, jak\u0105 popularno\u015b\u0107 zdob\u0119dzie i czy otrzyma wsparcie instytucjonalne, np. przez automatyczne dodawanie podobnego \u201ecloakingu\u201d do obraz\u00f3w udost\u0119pnianych na platformach spo\u0142eczno\u015bciowych. Tak czy inaczej, napawa nadziej\u0105 fakt, \u017ce w miar\u0119 dzia\u0142aj\u0105cy prototyp uda\u0142o si\u0119 wypracowa\u0107 tak szybko. To jednak dopiero pocz\u0105tek wy\u015bcigu zbroje\u0144.<\/p> Wykorzystanie syntetycznych medi\u00f3w wysokiej jako\u015bci (deepfake\u2019\u00f3w) do dzia\u0142a\u0144 niezgodnych z prawem tylko mi\u0119dzy 2022 a 2023 rokiem wed\u0142ug szacunk\u00f3w bran\u017cowych wzros\u0142o globalnie od dziesi\u0119ciu <\/a><\/mark><\/strong>do trzydziestu jeden razy.<\/a><\/mark><\/strong> Ostatnie badania wskazuj\u0105, \u017ce w 2023 roku nawet 30% wszystkich medi\u00f3w dost\u0119pnych online zosta\u0142o stworzonych lub przetworzonych przez modele generatywne. <\/p> Deloitte ocenia, \u017ce \u0142atwy dost\u0119p do modeli generatywnych jeszcze przyspieszy ten proces. Badania nad perswazyjno\u015bci\u0105 du\u017cych modeli j\u0119zykowych sugeruj\u0105, \u017ce nie s\u0105 to oceny na wyrost. (przypis 1<\/a><\/mark><\/strong>, 2<\/a><\/mark><\/strong>, 3<\/a><\/mark><\/strong>) Wykorzystanie nowych metod generowania medi\u00f3w syntetycznych przez obce rz\u0105dy i grupy przest\u0119pcze stanowi r\u00f3wnie\u017c wyzwanie dla bezpiecze\u0144stwa pa\u0144stwa. Badania nad \u015brednioterminowymi spo\u0142ecznymi i psychologicznymi konsekwencjami rozprzestrzeniania si\u0119 deepfake\u2019\u00f3w, cho\u0107 s\u0105 w powijakach ze wzgl\u0119du na to, \u017ce dotycz\u0105 skutk\u00f3w stosunkowo m\u0142odej technologii, r\u00f3wnie\u017c nie napawaj\u0105 optymizmem<\/a><\/mark><\/strong>. <\/p> Dotychczas za najlepsz\u0105 odpowied\u017a na zagro\u017cenie deepfake\u2019ami uznawano detekcj\u0119, szkolenia z wykrywania oraz ostrzeganie przed zmanipulowanymi tre\u015bciami. Jest to zreszt\u0105 cz\u0119\u015b\u0107 zalece\u0144 formu\u0142owanych regularnie przez komisje parlamentarne i agencje rz\u0105dowe pa\u0144stw sojuszniczych. Jednak jak wida\u0107 po rosn\u0105cej krzywej skutecznego wykorzystania deepfake\u2019\u00f3w w dzia\u0142alno\u015bci przest\u0119pczej, te metody okazuj\u0105 si\u0119 niewystarczaj\u0105ce. Oznaczanie zmanipulowanych medi\u00f3w i ostrzeganie przed nimi nie przynosz\u0105 oczekiwanych rezultat\u00f3w. Nowe badania pokazuj\u0105, \u017ce nawet gdy odbiorcy zostan\u0105 ostrze\u017ceni o zagro\u017ceniu manipulacj\u0105, w znacznej liczbie przypadk\u00f3w i tak nie b\u0119d\u0105 w stanie jej rozpozna\u0107.<\/p> W zwi\u0105zku z tym konieczna jest zmiana podej\u015bcia na bardziej prewencyjne (zanim powstanie deepfake), zamiast poleganie wy\u0142\u0105cznie na detekcji i ostrzeganiu (o tym, co ju\u017c si\u0119 wydarzy\u0142o). Pozwoli ona nie tylko ograniczy\u0107 liczb\u0119 przypadk\u00f3w u\u017cycia deepfake’\u00f3w, ale r\u00f3wnie\u017c zwi\u0119kszy og\u00f3lne bezpiecze\u0144stwo i podtrzyma zaufanie spo\u0142eczne do powszechnie dost\u0119pnych tre\u015bci wizualnych, szczeg\u00f3lnie tych zwi\u0105zanych z dzia\u0142alno\u015bci\u0105 administracji pa\u0144stwowej i instytucji zaufania publicznego.<\/p> <\/p>","protected":false},"excerpt":{"rendered":" Modele potrzebuj\u0105 danych, a te nie bior\u0105 si\u0119 znik\u0105d. To my je dostarczamy. Za ka\u017cdym razem, kiedy publikujesz na Instagramie zdj\u0119cie obiadu, Meta dostaje darmowy datapoint. Ulepszy nim swoje generatory, kt\u00f3re nast\u0119pnie odsprzeda Ci w subskrypcji premium.<\/p>\n","protected":false},"author":93,"featured_media":4746,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"rank_math_lock_modified_date":false,"footnotes":""},"categories":[763,402,754,404],"tags":[],"popular":[],"difficulty-level":[37],"ppma_author":[383],"class_list":["post-4741","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ai_praktyka","category-hai-magazine","category-hai_premium","category-hai-magazine-2","difficulty-level-hard"],"acf":[],"authors":[{"term_id":383,"user_id":93,"is_guest":0,"slug":"borys-jastrzebski","display_name":"Borys Jastrz\u0119bski","avatar_url":"https:\/\/secure.gravatar.com\/avatar\/0ce4cc4a892954b0b7a87114b3ff854008a4dfcb285b40b463b58ae23998548c?s=96&d=mm&r=g","first_name":"Borys","last_name":"Jastrz\u0119bski","user_url":"","job_title":"","description":"Complexity scientist (UCLA i UW), ekspert ds. informatyki spo\u0142ecznej i bezpiecze\u0144stwa informacyjnego, wyk\u0142adowca Akademii Leona Ko\u017ami\u0144skiego"}],"_links":{"self":[{"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/posts\/4741","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/users\/93"}],"replies":[{"embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/comments?post=4741"}],"version-history":[{"count":6,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/posts\/4741\/revisions"}],"predecessor-version":[{"id":6117,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/posts\/4741\/revisions\/6117"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/media\/4746"}],"wp:attachment":[{"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/media?parent=4741"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/categories?post=4741"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/tags?post=4741"},{"taxonomy":"popular","embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/popular?post=4741"},{"taxonomy":"difficulty-level","embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/difficulty-level?post=4741"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/haimagazine.com\/pl\/wp-json\/wp\/v2\/ppma_author?post=4741"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/haimagazine.com\/wp-content\/uploads\/2024\/09\/Zrzut-ekranu-2024-08-12-o-22.04.18-1.png\")
Rys. 2. Xing et al (2024), When AI Eats Itself: On the Caveats of Data Pollution in the Era of Generative AI, arXiv. (\u017ar\u00f3d\u0142o<\/a>)<\/em><\/p>Szczepi\u0107 czy tru\u0107? <\/h4>
![\"\"](\"https:\/\/haimagazine.com\/wp-content\/uploads\/2024\/09\/11.png\")
Atak enkodera<\/h4>![\"\"](\"https:\/\/haimagazine.com\/wp-content\/uploads\/2024\/09\/22.png\")
Atak dyfuzyjny<\/h4>![\"\"](\"https:\/\/haimagazine.com\/wp-content\/uploads\/2024\/09\/encoder.png\")
Rys. 3. Salman et al (2024), s. 5<\/em><\/p>![\"\"](\"https:\/\/haimagazine.com\/wp-content\/uploads\/2024\/09\/Zrzut-ekranu-2024-08-12-o-22.04.44.png\")
Rys. 5. Glaze (2023), Glaze: Protecting Artists from Style Mimicry by Text-to-Image Models, arXiv.(\u017ar\u00f3d\u0142o<\/a>)
<\/em><\/p>B\u0119dzie tylko gor\u0119cej<\/h4>