On the Vulnerability of DeepFake Detectors to Attacks Generated by Denoising Diffusion Models

要約

悪意のあるディープフェイクの検出は常に進化する問題であり、最新のモデルによって生成された画像操作を確実に検出できるように検出器を継続的に監視する必要があります。
この論文では、最新世代の生成手法、つまりノイズ除去拡散モデル (DDM) によって作成されたブラックボックス攻撃に対する単一画像ディープフェイク検出器の脆弱性を調査します。
私たちの実験は、顔のアイデンティティの交換と顔の再現のためのさまざまな技術で生成された操作された画像で構成される、広く使用されているディープフェイク ベンチマークである FaceForensics++ で実行されます。
攻撃は、顔復元のための提案された DDM アプローチを使用して、既存のディープフェイクをガイド付きで再構築することによって作成されます。
私たちの調査結果は、ディープフェイクの再構成プロセスで 1 回のノイズ除去拡散ステップを採用するだけで、認識可能な画像の変更を一切導入することなく、検出の可能性を大幅に低減できることを示しています。
攻撃例を使用した検出器のトレーニングはある程度の有効性を示しましたが、完全に拡散ベースのディープフェイクでトレーニングされた識別子は、攻撃が提示された場合に限られた一般化可能性を示すことが観察されました。

要約(オリジナル)

The detection of malicious deepfakes is a constantly evolving problem that requires continuous monitoring of detectors to ensure they can detect image manipulations generated by the latest emerging models. In this paper, we investigate the vulnerability of single-image deepfake detectors to black-box attacks created by the newest generation of generative methods, namely Denoising Diffusion Models (DDMs). Our experiments are run on FaceForensics++, a widely used deepfake benchmark consisting of manipulated images generated with various techniques for face identity swapping and face reenactment. Attacks are crafted through guided reconstruction of existing deepfakes with a proposed DDM approach for face restoration. Our findings indicate that employing just a single denoising diffusion step in the reconstruction process of a deepfake can significantly reduce the likelihood of detection, all without introducing any perceptible image modifications. While training detectors using attack examples demonstrated some effectiveness, it was observed that discriminators trained on fully diffusion-based deepfakes exhibited limited generalizability when presented with our attacks.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google