La Maison Blanche Biden a récemment promulgué son dernier décret visant à établir un cadre directeur pour le développement de l’intelligence artificielle générative, y compris l’authentification du contenu et l’utilisation de filigranes numériques pour indiquer quand les actifs numériques créés par le gouvernement fédéral sont générés par ordinateur. Voici comment cette technologie et des technologies similaires de protection contre la copie pourraient aider les créateurs de contenu à authentifier de manière plus sécurisée leurs œuvres en ligne à l’ère de la désinformation générative de l’IA.
Un historique rapide du filigrane
Les techniques de filigrane analogique ont été développées pour la première fois en Italie en 1282. Les papetiers implantaient de fins fils dans le moule en papier, ce qui créait des zones presque imperceptiblement plus fines de la feuille, qui devenaient apparentes lorsqu’elles étaient exposées à une lumière. Non seulement les filigranes analogiques étaient utilisés pour authentifier où et comment les produits d’une entreprise étaient fabriqués, mais ils pouvaient également être exploités pour transmettre des messages cachés et codés. Au XVIIIe siècle, la technologie s’était répandue et était utilisée par le gouvernement comme moyen de prévenir la contrefaçon de monnaie. Les techniques de filigrane couleur, qui consistent à placer des matériaux teints entre des couches de papier, ont été développées à la même époque.
Bien que le terme « filigrane numérique » n’ait été inventé qu’en 1992, la technologie sous-jacente a été brevetée pour la première fois par la Muzac Corporation en 1954. Le système qu’ils ont construit et qu’ils ont utilisé jusqu’à la vente de l’entreprise dans les années 1980, permettait d’identifier la musique appartenant à la société. par Muzac utilisant un « filtre coupe-bande » pour bloquer le signal audio à 1 kHz dans des rafales spécifiques, comme le code Morse, pour stocker des informations d’identification.
Les sociétés de surveillance publicitaire et de mesure d’audience comme la société Nielsen utilisent depuis longtemps des techniques de filigrane pour marquer les pistes audio des émissions de télévision afin de suivre et de comprendre ce que regardent les foyers américains. Ces méthodes stéganographiques ont même fait leur chemin dans le standard Blu-Ray moderne (le système Cinavia), ainsi que dans des applications gouvernementales telles que l’authentification des permis de conduire, des monnaies nationales et d’autres documents sensibles. La société Digimarc, par exemple, a développé un filigrane pour les emballages qui imprime le code-barres d’un produit de manière presque invisible sur toute la boîte, permettant à n’importe quel scanner numérique en vue de le lire. Il a également été utilisé dans des applications allant de la lutte contre la contrefaçon de marques à l’amélioration de l’efficacité du recyclage des matériaux.
Le ici et maintenant
Le tatouage numérique moderne fonctionne sur les mêmes principes, intégrant imperceptiblement des informations supplémentaires sur un élément de contenu (qu’il s’agisse d’une image, d’une vidéo ou d’un audio) à l’aide d’un logiciel d’encodage spécial. Ces filigranes sont facilement lisibles par les machines mais sont largement invisibles pour les utilisateurs humains. La pratique diffère des protections cryptographiques existantes telles que les clés de produit ou les dongles de protection logicielle dans la mesure où les filigranes n’empêchent pas activement la modification ou la duplication non autorisée d’un élément de contenu, mais fournissent plutôt un enregistrement de l’origine du contenu ou de l’identité du détenteur des droits d’auteur.
Le système n’est cependant pas parfait. « Il n’y a rien, littéralement rien, qui empêche les œuvres protégées par le droit d’auteur d’être formées sur [by generative AI models]à l’exception de la parole invérifiable et inapplicable des sociétés d’IA », a déclaré à Engadget le Dr Ben Zhao, professeur Neubauer d’informatique à l’Université de Chicago, par courrier électronique.
« Il n’existe aucune méthode cryptographique ou réglementaire pour protéger les œuvres protégées par le droit d’auteur – aucun, » il a dit. « Les listes de désinscription ont été ridiculisées par Stability.ai (ils ont changé le nom du modèle en SDXL pour ignorer tous ceux qui se sont inscrits pour se désinscrire du SD 3.0) et Facebook/Meta, qui a répondu aux utilisateurs sur leur récent choix. -liste de sortie avec un message disant « vous ne pouvez pas prouver que vous avez déjà été formé à notre modèle, vous ne pouvez donc pas vous désinscrire ».
Zhao dit que même si le décret de la Maison Blanche est « ambitieux et couvre un terrain considérable », les plans présentés jusqu’à présent par la Maison Blanche manquent beaucoup de « détails techniques sur la manière dont ils pourraient réellement atteindre les objectifs qu’ils se sont fixés ».
Il note que « de nombreuses entreprises ne subissent aucune pression réglementaire ou juridique pour se donner la peine de filigraner leur production genAI. Les mesures volontaires ne fonctionnent pas dans un contexte conflictuel où les parties prenantes sont incitées à éviter ou à contourner les réglementations et la surveillance.
« Qu’on le veuille ou non, les sociétés commerciales sont conçues pour gagner de l’argent, et il est dans leur intérêt d’éviter les réglementations », a-t-il ajouté.
Nous pourrions également très facilement voir la prochaine administration présidentielle entrer en fonction et démanteler le décret de Biden et toute l’infrastructure fédérale nécessaire à sa mise en œuvre, puisqu’un décret n’a pas le statut constitutionnel d’une législation du Congrès. Mais ne comptez pas non plus sur la Chambre et le Sénat pour résoudre ce problème.
« Le Congrès est profondément polarisé et même dysfonctionnel dans la mesure où il est très peu probable qu’il produise une législation significative sur l’IA dans un avenir proche », a déclaré Anu Bradford, professeur de droit à l’Université de Columbia. Revue technique du MIT. Jusqu’à présent, les mécanismes d’application de ces systèmes de filigrane se sont généralement limités aux petits jurons des principaux acteurs du secteur.
Comment fonctionnent les informations d’identification de contenu
Alors que les rouages du gouvernement tournent si lentement, des alternatives industrielles s’avèrent nécessaires. Microsoft, le New York Times, CBC/Radio-Canada et la BBC ont lancé le projet Origin en 2019 pour protéger l’intégrité du contenu, quelle que soit la plateforme sur laquelle il est consommé. Parallèlement, Adobe et ses partenaires ont lancé la Content Authenticity Initiative (CAI), abordant la question du point de vue du créateur. Finalement, CAI et Project Origin ont combiné leurs efforts pour créer la Coalition pour la provenance et l’authenticité du contenu (C2PA). De cette coalition de coalitions sont nés Content Credentials (« CR » en abrégé), qu’Adobe a annoncé lors de son événement Max en 2021.
CR joint des informations supplémentaires sur une image chaque fois qu’elle est exportée ou téléchargée sous la forme d’un manifeste cryptographiquement sécurisé. Le manifeste extrait les données de l’image ou de l’en-tête de la vidéo : les informations sur le créateur, où l’image a été prise, quand elle a été prise, quel appareil l’a prise, si des systèmes d’IA générative comme DALL-E ou Stable Diffusion ont été utilisés et quelles modifications ont été apportées depuis. — permettre aux sites Web de vérifier ces informations par rapport aux allégations de provenance faites dans le manifeste. Lorsqu’elle est combinée à la technologie de filigrane, le résultat est une méthode d’authentification unique qui ne peut pas être facilement supprimée comme les EXIF et les métadonnées (c’est-à-dire les détails techniques automatiquement ajoutés par le logiciel ou l’appareil qui a pris l’image) lorsqu’elles sont téléchargées sur des sites de médias sociaux (en raison de la signature de fichiers cryptographiques). Un peu comme la technologie blockchain !
Les métadonnées ne survivent généralement pas aux flux de travail courants, car le contenu est mélangé sur Internet car, a expliqué Ken Sickles, directeur des produits de Digimarc, à Engadget, de nombreux systèmes en ligne n’ont pas été conçus pour les prendre en charge ou les lire et ignorent donc simplement les données.
« L’analogie que nous avons utilisée dans le passé est celle d’une enveloppe », a déclaré à Engadget Tony Rodriguez, directeur de la technologie de Digimarc. Comme dans une enveloppe, le contenu précieux que vous souhaitez envoyer est placé à l’intérieur « et c’est là que se trouve le filigrane. Cela fait en fait partie des pixels, de l’audio, de tout média. Les métadonnées, toutes ces autres informations, sont écrites à l’extérieur de l’enveloppe.
Si quelqu’un parvient à supprimer le filigrane (cela ne s’avère pas si difficile, il suffit de capturer l’image et de recadrer l’icône), les informations d’identification peuvent être rattachées via Verify, qui exécute des algorithmes de vision industrielle sur une image téléchargée pour trouver des correspondances dans son référentiel. Si l’image téléchargée peut être identifiée, les informations d’identification sont réappliquées. Si un utilisateur rencontre le contenu de l’image dans la nature, il peut vérifier ses informations d’identification en cliquant sur l’icône CR pour afficher le manifeste complet, vérifier les informations par lui-même et prendre une décision plus éclairée sur le contenu en ligne auquel faire confiance.
Sickles envisage que ces systèmes d’authentification fonctionnent en couches de coordination, comme un système de sécurité domestique qui associe des serrures et des pênes dormants à des caméras et des capteurs de mouvement pour augmenter sa couverture. « C’est la beauté des informations d’identification de contenu et des filigranes réunis », a déclaré Sickles. « Ils deviennent un système beaucoup plus puissant en tant que base d’authenticité et de compréhension de la provenance autour d’une image » qu’ils ne le feraient individuellement. » Digimarc distribue gratuitement son outil de détection de filigrane à développeurs d’IA générative et intègre la norme Content Credentials dans sa plateforme existante de protection contre la copie en ligne Validate.
Dans la pratique, nous voyons déjà la norme être intégrée dans des produits commerciaux physiques comme le Leica M11-P qui apposera automatiquement un identifiant CR aux images au fur et à mesure de leur prise. Le New York Times a exploré son utilisation dans des activités journalistiques, Reuters l’a utilisé pour son ambitieuse fonctionnalité 76 jours et Microsoft l’a également ajouté à Bing Image Creator et au chatbot Bing AI. Sony travaillerait à intégrer la norme dans ses appareils photo numériques Alpha 9 III, avec des mises à jour du micrologiciel permettant les modèles Alpha 1 et Alpha 7S III arrivant en 2024. CR est également disponible dans la vaste suite d’outils d’édition photo et vidéo d’Adobe, notamment Illustrator, Adobe Express. , Stock et Behance. L’IA générative de l’entreprise, Firefly, inclura automatiquement des informations non personnellement identifiables dans un CR pour certaines fonctionnalités telles que le remplissage génératif (en notant essentiellement que la fonctionnalité générative a été utilisée, mais pas par qui), mais sera par ailleurs facultative.
Cela dit, la norme C2PA et les informations d’identification de contenu front-end sont à peine sorties de leur développement et sont actuellement extrêmement difficiles à trouver sur les réseaux sociaux. « Je pense que cela dépend vraiment de l’adoption à grande échelle de ces technologies et du lieu où elles sont adoptées ; à la fois dans la perspective de joindre les informations d’identification du contenu et d’insérer le filigrane pour les lier », a déclaré Sickles.
Nightshade : l’alternative CR mortelle pour les bases de données
Certains chercheurs en sécurité ont eu assez d’attendre que des lois soient rédigées ou que des normes industrielles prennent racine et ont plutôt pris en main la protection contre la copie. Des équipes du SAND Lab de l’Université de Chicago, par exemple, ont développé deux systèmes de protection contre la copie carrément malveillants, destinés spécifiquement à lutter contre les IA génératives.
Zhao et son équipe ont développé Glaze, un système destiné aux créateurs qui perturbe le style de mimétisme d’une IA générative (en exploitant le concept d’exemples contradictoires). Il peut modifier les pixels d’une œuvre d’art donnée d’une manière indétectable à l’œil humain, mais qui semble radicalement différente d’un système de vision industrielle. Lorsqu’un système d’IA générative est entraîné sur ces images « vitrées », il devient incapable de reproduire exactement le style artistique souhaité : le cubisme devient un dessin animé, les styles abstraits se transforment en anime. Cela pourrait s’avérer particulièrement bénéfique pour les artistes connus et souvent imités, en garantissant la sécurité commerciale de leurs styles artistiques de marque.
Alors que Glaze se concentre sur les actions préventives pour détourner les efforts des grattoirs de données illicites, le nouvel outil de SAND Lab est résolument punitif. Surnommé Nightshade, le système modifiera subtilement les pixels d’une image donnée, mais au lieu de confondre les modèles avec lesquels il est entraîné comme le fait Glaze, l’image empoisonnée corrompra la base de données d’entraînement qu’elle a ingérée en gros, obligeant les développeurs à revenir en arrière et à les supprimer manuellement. image dommageable pour résoudre le problème – sinon le système se recyclera simplement sur les mauvaises données et subira à nouveau les mêmes problèmes.
L’outil est conçu comme un « dernier recours » pour les créateurs de contenu mais ne peut pas être utilisé comme vecteur d’attaque. « C’est l’équivalent de mettre de la sauce piquante dans votre déjeuner parce que quelqu’un continue de la voler dans le réfrigérateur », a expliqué Zhao.
Zhao a peu de sympathie pour les propriétaires des modèles endommagés par Nightshade. « Les entreprises qui contournent intentionnellement les listes de non-participation et les directives de « ne pas gratter » savent ce qu’elles font », a-t-il déclaré. « Il n’y a pas de téléchargement ni de formation « accidentels » sur les données. Il faut beaucoup de travail et une pleine intention pour prendre le contenu de quelqu’un, le télécharger et s’entraîner dessus.
Cet article contient des liens d’affiliation ; si vous cliquez sur un tel lien et effectuez un achat, nous pouvons gagner une commission.