如何使用对抗性人工智能来逃避YouTube强硬的版权检测AI
YouTube被理解为使用机器学习算法来识别用户上传的视频中受版权保护的材料,因此,至少在理论上,任何有特色的艺术家都能得到适当的工作补偿。该系统的工作原理或多或少,但它是不是 没有它的争论。
除了对滥用权力和合理使用权的担忧之外,事实证明人工智能算法可以巧妙地调整视频提交中的音频,以便任何受版权保护的音乐可以在上传后躲避YouTube的AI机器人检测。
美国马里兰大学的Boffins估计他们的代码成功地操纵了两首歌曲中的音频--Stevie Wonder的热门歌曲Signed,Sealed,Delivered在1970年达到顶峰3; 和Kesha的传染性赛道Tik Tok在2010年排名第一 - 因此在他们上传到YouTube后,他们避免了检测,并且仍然和原件一样或多或少地听起来。
这种被篡改的音频是一种对抗性攻击,其中神经网络调整输入(例如照片)以产生稍微破坏的输出,该输出使得另一个神经网络错误地识别输入数据。对抗性攻击通常在计算机视觉模型上进行,例如经过仔细调整的玩具龟,后来被机器学习软件误认为是枪。
并且,是的,也可以制作对抗性音频,导致像YouTube的数字版权侦探这样的系统错误识别音乐 - 正如马里兰大学团队在本周在线分享的这篇学术论文 [PDF] 所描述的那样。
来自上述Stevie Wonder和Kesha歌曲的对抗音频用于攻击Youtube的Content ID算法。每次将视频上传到YouTube时,内容ID都会自动扫描,内容ID会检查剪辑中的素材和音频是否与其受版权保护作品的数据库中的任何材料相匹配。
如果没有匹配,则认为正在上传的视频是原创视频。但是,如果匹配,则提交的视频中受版权保护的资料的所有者可以阻止查看整个文件,通过广告获利,以便他们在工作中赚取一些钱,或者只是跟踪视频的观看统计数据。
遍布它的指纹
研究人员声称他们的AI调整音频设法滑过这个Content ID系统,并且听起来与人类的原始音轨相同。在识别上传视频的音轨方面,YouTube的机器学习算法很可能通过从音频中提取特征向量来工作 - 将这些向量视为声音的指纹。然后,软件尝试将这些音频指纹与Content ID数据库中的轨道指纹相匹配。指纹匹配表示视频中的音频可能与数据库中相应的受版权保护的作品相同。
因此,产生良好的对抗性音频的技巧是以某种方式调整歌曲,使其仍然可以被人识别,但不能识别像Content ID这样的版权检测算法。
在开发软件时,该团队首先研究了识别来自音频片段的歌曲的软件:Apple拥有的Shazam,用于识别您从手机麦克风收听的任何音乐。
如何Shazam的和类似的应用工作已经实施了逆向工程 ,多年来,虽然把握关键问题是,一首歌可以表示为它的音频频率随时间的频谱。可以在轨道的频谱图中识别诸如主频的密度之类的特征,并用于为音频生成唯一的指纹。
研究人员训练了卷积神经网络将音频信号转换为频谱图,然后识别该表示中的主要特征,为该歌曲生成独特的指纹。然后使用标准的梯度下降方法来产生歌曲的对抗版本:音频信号经过调整,因此据称它们与原始输入到人耳的声音相同但产生不同的指纹。
换句话说,研究人员改变了Stevie Wonder的Signed,Sealed,Delivered和Kesha的Tik Tok的指纹,因此它们不再与YouTube的Content ID系统识别的那些相符,而据称保持音频与人类相同。
不幸的是,很难说出这些特殊的对抗性例子有多好。“由于版权法的原因,我们无法分享受版权保护的歌曲的原始版本或异议版本。然而,对于每个受版权保护材料的实验,我们都会进行完全相同的攻击,“该文件指出。
也就是说,该团队确实制作了一个由126人提供的Total Totality的对抗性示例,可以从YouTube的音乐库中免费使用,据称已经过了Content ID,并在此网页上嵌入并记录。将第一个剪辑(原始音频样本)与第八个剪辑进行比较,第八个剪辑是AI制作的对抗性示例,显然避开了内容ID。
对抗的例子是真实的!
可悲的是,前面提到的对抗性例子并不是很好:听起来像Futurama的机器人反社会人员Bender将奶酪刨丝器带到他着名的闪亮金属屁股上。现在有令人不愉快的高频吱吱声和擦伤,不在原始剪辑中。换句话说,它与原作不同。我们还听了Tik Tok的AI改变版本,它也有点不对劲。
Parsa Saadatpanah,该论文的合着者和马里兰大学的博士生告诉The Register,该项目更像是一个“概念证明”,而且目标不是针对YouTube的算法。毕竟,这是一项早期的学术研究,研究了更多研究和工作可能带来的成果,因此我们应该牢记这一点。
“我们的攻击是'转移攻击',这意味着我们会对模型系统构建攻击,并希望它也适用于我们无法访问的不同目标系统,如YouTube,”他说。“模型越接近真实系统,攻击越好。这项研究应该是概念的高级证明 - 事实是我们从未真正期望打破YouTube,所以我们并没有试图建立一个关于YouTube系统如何工作的现实模型。
相反,研究人员表示,他们正试图提高人们的认识,即对抗性的例子是对现实世界系统的威胁。经典的对抗性例子,例如操纵交通标志以欺骗自动驾驶汽车,因为不在现实世界中工作而受到批评。
“完全自动驾驶的车辆还有很长的路要走,而且大多数自动驾驶系统都不依赖于机器学习来识别交通规则 - 这些信息都是通过[地理信息系统]提供的,”Saadatpanah说。“因此,我们有时会听到来自人们认为对抗性的例子不是真正的威胁。
“例如,为了欺骗停车标志探测器,攻击者需要操纵停车标志 - 物理对象,而不是图像 - 然后希望在使用不同的摄像机,分辨率,照明条件,视角拍摄时,对抗性扰动仍然有效,距离和运动模糊。但是当愚弄版权检测器时,攻击者可以直接操作音频或视频文件,然后将其直接上传到服务器而无需修改。“
他建议,对抗性攻击的最佳防御是对抗性训练。当YouTube的内容ID模型等版权检测算法在培训过程中暴露于这些对抗性示例时,他们更有可能识别攻击并对其免疫。