La Casa Blanca de Biden promulgó recientemente su última orden ejecutiva diseñada para establecer un marco rector para el desarrollo de la inteligencia artificial generativa, incluida la autenticación de contenido y el uso de marcas de agua digitales para indicar cuándo los activos digitales creados por el gobierno federal se generan por computadora. Así es como esta y otras tecnologías similares de protección contra copia podrían ayudar a los creadores de contenido a autenticar de manera más segura sus trabajos en línea en una era de desinformación generativa de IA.
Una breve historia de las marcas de agua.
Las técnicas de marca de agua analógica se desarrollaron por primera vez en Italia en 1282. Los fabricantes de papel implantaban alambres delgados en el molde del papel, lo que creaba áreas casi imperceptiblemente más delgadas de la hoja que se hacían evidentes al exponerlas a la luz. No sólo se utilizaban marcas de agua analógicas para autenticar dónde y cómo se producían los productos de una empresa, sino que también se podían aprovechar para transmitir mensajes codificados y ocultos. En el siglo XVIII, la tecnología se había extendido al uso gubernamental como medio para prevenir la falsificación de moneda. En la misma época se desarrollaron técnicas de marcas de agua en color, que intercalan materiales teñidos entre capas de papel.
Aunque el término «marca de agua digital» no se acuñó hasta 1992, la tecnología detrás de él fue patentada por primera vez por Muzac Corporation en 1954. El sistema que construyeron, y que utilizaron hasta que la compañía se vendió en la década de 1980, identificaría la música de su propiedad. Muzac utiliza un “filtro de muesca” para bloquear la señal de audio a 1 kHz en ráfagas específicas, como el código Morse, para almacenar información de identificación.
Las empresas de monitoreo de publicidad y medición de audiencia como Nielsen Company han utilizado durante mucho tiempo técnicas de marcas de agua para etiquetar las pistas de audio de programas de televisión para rastrear y comprender lo que ven los hogares estadounidenses. Estos métodos esteganográficos incluso se han introducido en el moderno estándar Blu-Ray (el sistema Cinavia), así como en aplicaciones gubernamentales como la autenticación de licencias de conducir, monedas nacionales y otros documentos confidenciales. La corporación Digimarc, por ejemplo, ha desarrollado una marca de agua para envases que imprime el código de barras de un producto de forma casi invisible en toda la caja, permitiendo que cualquier escáner digital en el campo visual pueda leerlo. También se ha utilizado en aplicaciones que van desde la lucha contra la falsificación de marcas hasta una mayor eficiencia en el reciclaje de materiales.
El aquí y el ahora
Las marcas de agua digitales modernas funcionan según los mismos principios, incorporando imperceptiblemente información adicional en un contenido (ya sea imagen, video o audio) utilizando un software de codificación especial. Estas marcas de agua son fácilmente leídas por las máquinas, pero son en gran medida invisibles para los usuarios humanos. La práctica difiere de las protecciones criptográficas existentes, como claves de producto o dispositivos de protección de software, en que las marcas de agua no previenen activamente la alteración o duplicación no autorizada de un contenido, sino que proporcionan un registro de dónde se originó el contenido o quién es el titular de los derechos de autor.
Sin embargo, el sistema no es perfecto. “No hay nada, literalmente nada, que proteja las obras protegidas por derechos de autor de ser capacitadas en [by generative AI models]excepto la palabra no verificable e inaplicable de las empresas de IA”, dijo a Engadget por correo electrónico el Dr. Ben Zhao, profesor Neubauer de Ciencias de la Computación en la Universidad de Chicago.
“No existen métodos criptográficos o regulatorios para proteger las obras protegidas por derechos de autor. ninguno,» él dijo. “Stability.ai ha convertido las listas de exclusión voluntaria en una burla (cambiaron el nombre del modelo a SDXL para ignorar a todos los que se registraron para optar por no participar en SD 3.0) y Facebook/Meta, que respondió a los usuarios sobre su reciente decisión de no participar. lista de salida con un mensaje que decía ‘no puede demostrar que ya recibió capacitación en nuestro modelo, por lo tanto, no puede optar por no participar’”.
Zhao dice que si bien la orden ejecutiva de la Casa Blanca es «ambiciosa y cubre un terreno enorme», los planes presentados hasta la fecha por la Casa Blanca han carecido de muchos «detalles técnicos sobre cómo lograría realmente los objetivos que estableció».
Señala que “hay muchas empresas que no están bajo presión regulatoria o legal para molestarse en poner marcas de agua en su producción de genAI. Las medidas voluntarias no funcionan en un entorno de confrontación donde se incentiva a las partes interesadas a evitar o eludir las regulaciones y la supervisión”.
“Les guste o no, las empresas comerciales están diseñadas para ganar dinero, y lo mejor para ellas es evitar las regulaciones”, añadió.
También podríamos ver muy fácilmente a la próxima administración presidencial asumir el cargo y desmantelar la orden ejecutiva de Biden y toda la infraestructura federal necesaria para implementarla, ya que una orden ejecutiva carece del estatus constitucional de la legislación del Congreso. Pero tampoco cuenten con que la Cámara y el Senado hagan algo al respecto.
«El Congreso está profundamente polarizado e incluso disfuncional hasta el punto de que es muy poco probable que produzca alguna legislación significativa sobre IA en el futuro cercano», dijo Anu Bradford, profesora de derecho en la Universidad de Columbia. Revisión técnica del MIT. Hasta ahora, los mecanismos de aplicación de estos esquemas de marcas de agua se han limitado generalmente a juramentos de meñique por parte de los principales actores de la industria.
Cómo funcionan las credenciales de contenido
Con las ruedas del gobierno girando tan lentamente, las alternativas industriales están resultando necesarias. Microsoft, el New York Times, CBC/Radio-Canada y la BBC iniciaron Project Origin en 2019 para proteger la integridad del contenido, independientemente de la plataforma en la que se consuma. Al mismo tiempo, Adobe y sus socios lanzaron la Iniciativa de Autenticidad de Contenido (CAI), abordando el tema desde la perspectiva del creador. Finalmente, CAI y Project Origin combinaron sus esfuerzos para crear la Coalición para la Procedencia y Autenticidad del Contenido (C2PA). De esta coalición de coaliciones surgieron las Credenciales de Contenido (“CR” para abreviar), que Adobe anunció en su evento Max en 2021.
CR adjunta información adicional sobre una imagen cada vez que se exporta o descarga en forma de manifiesto criptográficamente seguro. El manifiesto extrae datos del encabezado de la imagen o del vídeo: la información del creador, dónde se tomó, cuándo se tomó, qué dispositivo lo tomó, si se utilizaron sistemas de IA generativa como DALL-E o Stable Diffusion y qué ediciones se han realizado desde entonces. — permitir que los sitios web verifiquen esa información con las afirmaciones de procedencia hechas en el manifiesto. Cuando se combina con la tecnología de marcas de agua, el resultado es un método de autenticación único que no se puede eliminar fácilmente como EXIF y metadatos (es decir, los detalles técnicos agregados automáticamente por el software o dispositivo que tomó la imagen) cuando se carga en sitios de redes sociales (debido a la firma de archivos criptográficos). ¡No muy diferente a la tecnología blockchain!
Los metadatos normalmente no sobreviven a los flujos de trabajo comunes, ya que el contenido se baraja en Internet porque, según explicó Ken Sickles, director de productos de Digimarc, a Engadget, muchos sistemas en línea no fueron creados para admitirlos o leerlos y, por lo tanto, simplemente ignoran los datos.
«La analogía que hemos utilizado en el pasado es la de un sobre», dijo a Engadget Tony Rodríguez, director de tecnología de Digimarc. Como un sobre, el contenido valioso que deseas enviar se coloca dentro “y ahí es donde se encuentra la marca de agua. En realidad, es parte de los píxeles, el audio, de cualquier medio que sea. Los metadatos y toda esa otra información se escriben en el exterior del sobre”.
Si alguien logra eliminar la marca de agua (resulta que no es tan difícil, simplemente haga una captura de pantalla de la imagen y recorte el ícono), las credenciales se pueden volver a adjuntar a través de Verify, que ejecuta algoritmos de visión artificial en una imagen cargada para encontrar coincidencias en su repositorio. Si se puede identificar la imagen cargada, se vuelven a aplicar las credenciales. Si un usuario encuentra el contenido de la imagen en la naturaleza, puede verificar sus credenciales haciendo clic en el ícono CR para abrir el manifiesto completo y verificar la información por sí mismo y tomar una decisión más informada sobre en qué contenido en línea confiar.
Sickles imagina que estos sistemas de autenticación funcionen en capas de coordinación, como un sistema de seguridad para el hogar que combine cerraduras y cerrojos con cámaras y sensores de movimiento para aumentar su cobertura. «Esa es la belleza de las credenciales de contenido y las marcas de agua juntas», dijo Sickles. «Se convierten en un sistema mucho, mucho más sólido como base para la autenticidad y la comprensión de la procedencia de una imagen» de lo que lo harían individualmente». Digimarc distribuye gratuitamente su herramienta de detección de marcas de agua a desarrolladores de IA generativa y está integrando el estándar Content Credentials en su plataforma de protección de copia en línea Validate existente.
En la práctica, ya estamos viendo que el estándar se incorpora en productos comerciales físicos como el Leica M11-P, que colocará automáticamente una credencial CR en las imágenes a medida que se toman. El New York Times ha explorado su uso en actividades periodísticas, Reuters lo utilizó para su ambiciosa función 76 días y Microsoft también lo agregó a Bing Image Creator y al chatbot Bing AI. Según se informa, Sony está trabajando para incorporar el estándar en sus cámaras digitales Alpha 9 III, permitiendo actualizaciones de firmware para los modelos Alpha 1 y Alpha 7S III que llegarán en 2024. CR también está disponible en el amplio conjunto de herramientas de edición de fotografías y videos de Adobe, incluidos Illustrator y Adobe Express. , Stock y comportamiento. La propia IA generativa de la compañía, Firefly, incluirá automáticamente información de identificación no personal en un CR para algunas características como el relleno generativo (esencialmente señalando que la característica generativa fue utilizada, pero no por quién), pero de lo contrario será voluntaria.
Dicho esto, el estándar C2PA y las credenciales de contenido de front-end apenas están en desarrollo y actualmente son extremadamente difíciles de encontrar en las redes sociales. “Creo que todo se reduce a la adopción a gran escala de estas tecnologías y dónde se adoptan; tanto desde la perspectiva de adjuntar las credenciales del contenido como de insertar la marca de agua para vincularlas”, dijo Sickles.
Nightshade: la alternativa CR que es mortal para las bases de datos
Algunos investigadores de seguridad ya han tenido suficiente espera a que se escriban leyes o se arraiguen los estándares de la industria y, en cambio, han tomado la protección contra copia en sus propias manos. Equipos del SAND Lab de la Universidad de Chicago, por ejemplo, han desarrollado un par de sistemas de protección de copia francamente desagradables para usar específicamente contra las IA generativas.
Zhao y su equipo han desarrollado Glaze, un sistema para creadores que altera el estilo de mimetismo de una IA generativa (explotando el concepto de ejemplos contradictorios). Puede cambiar los píxeles de una obra de arte determinada de una manera que el ojo humano no puede detectar, pero que parece radicalmente diferente a un sistema de visión artificial. Cuando un sistema de inteligencia artificial generativo se entrena con estas imágenes «esmaltadas», se vuelve incapaz de replicar exactamente el estilo de arte deseado: el cubismo se vuelve caricaturesco, los estilos abstractos se transforman en anime. Esto podría resultar de gran ayuda, especialmente para los artistas conocidos y a menudo imitados, a la hora de mantener comercialmente seguros los estilos artísticos de sus marcas.
Si bien Glaze se centra en acciones preventivas para desviar los esfuerzos de los raspadores de datos ilícitos, la herramienta más nueva de SAND Lab es totalmente punitiva. Apodado Nightshade, el sistema cambiará sutilmente los píxeles de una imagen determinada, pero en lugar de confundir los modelos con los que se entrena como lo hace Glaze, la imagen envenenada corromperá la base de datos de entrenamiento en la que se ingiere, lo que obligará a los desarrolladores a volver a revisarlos y eliminarlos manualmente. imagen dañina para resolver el problema; de lo contrario, el sistema simplemente volverá a entrenarse con los datos incorrectos y sufrirá los mismos problemas nuevamente.
La herramienta está pensada como un “último recurso” para los creadores de contenido, pero no puede utilizarse como vector de ataque. «Esto es el equivalente a poner salsa picante en el almuerzo porque alguien sigue robándola del refrigerador», argumentó Zhao.
Zhao siente poca simpatía por los propietarios de los modelos que Nightshade daña. «Las empresas que intencionalmente eluden las listas de exclusión voluntaria y las directivas de no eliminar saben lo que están haciendo», dijo. “No hay descargas ni entrenamiento ‘accidentales’ de datos. Se necesita mucho trabajo y mucha intención para tomar el contenido de alguien, descargarlo y capacitarse en él”.