IA: identificar conteúdo é mais difícil do que se pensava

A ascensão da IA (Inteligência Artificial), mais precisamente dos modelos generativos como ChatGPT, Stable Diffusion e outros, pegou legisladores em todo o mundo de calças curtas, dado o potencial destas para uso em desinformação, criação de Fake News, ataques e campanhas de difamação, etc.

• IA: UE exige que big techs identifiquem conteúdos
• IA: Estados Unidos ensaia processo de regulação

A União Europeia (UE), em paralelo à Lei de IA, que entrará em vigor entre 2025 e 2026, estabeleceu que indivíduos e companhias são obrigados a criarem métodos de identificação de conteúdos gerados por algoritmos, o que deve ser feito agora, não depois. Porém, estudos recentes mostram que todas as tecnologias disponíveis para tal são vulneráveis a hackers.

Um estudo recente, conduzido por pesquisadores do departamento de Ciência da Computação da Universidade de Maryland, nos Estados Unidos, sob a tutela do prof. Soheil Feizi, ainda não publicado, fez testes com recursos para a criação de marcas d'água digitais em conteúdos gerados por IA, em ambos formatos propostos, visíveis (alta perturbação) e invisíveis (baixa perturbação).

Tais recursos foram propostos por grandes companhias, tais como OpenAI, Alphabet, Meta, Amazon e Google DeepMind, esta tendo apresentado em agosto de 2023 o primeiro beta de sua solução própria, chamada SynthID. Esses algoritmos estão sendo projetados para identificar conteúdos gerados por sistemas especialistas, enquanto aplicam marcações para identificação, que podem ou não ser visíveis (a do Google não é).

A preocupação é compreensível. Pessoas mal intencionadas estão usando IAs generativas para os mais diversos fins, desde atacar desafetos a conseguir ganhos políticos, em diversos setores da sociedade. Alguns casos podem ser inócuos, outros não; de Donald Trump a Imran Khan, todo mundo está explorando a novidade para ganho próprio.

A imposição da União Europeia às gigantes tech para identificarem conteúdos de IA agora, não importa como, foi motivada principalmente pelo uso intenso da tecnologia no contexto da invasão da Ucrânia pela Rússia, mas também tem uma porção de direitos autorais, visto que muitas empresas usaram toneladas de material protegido por copyright, sem que seus detentores tenham sido consultados, muito menos pagos. A identificação forçada viabilizará processos, e foi uma decisão intencional nesse sentido.

As companhias apresentaram dois modelos de identificadores, um de alta perturbação, que cria uma marca d'água visível (para um texto, é possível ser a adição de um disclaimer), e um de baixa perturbação, que é imperceptível, mas identificável durante manipulação do arquivo.

É aqui que o estudo da equipe do prof. Feizi entra, e os resultados não são bons. Nos testes, eles conseguiram manipular e contornar ambos modelos de marcas d'água, sendo que as invisíveis como o SynthID são as mais vulneráveis. Eles inclusive foram capazes de aplicar os identificadores em materiais legítimos, criados pela mão humana e não por IAs.

Este não é o primeiro relatório mostrando que as soluções para identificar conteúdos generativos é falho. Em junho de 2023, um estudo conjunto (cuidado, PDF) de pesquisadores das Universidades da Califórnia, Santa Barbara e Carnegie Mellon, constatou que ataques deliberados, construtivos (que contornam as marcas, usando recursos manjados do Photoshop, como desfoque gaussiano) ou destrutivos (que danificam a obra) são capazes de remover os identificadores.

Por outro lado, outro time de pesquisadores da Universidade de Maryland conseguiu (cuidado, PDF), por conta própria, criar um modelo de marca d'água tão intrinsecamente ligado ao conteúdo, que sua remoção forçada danifica de forma notável o vídeo ou imagem gerado por IA, facilitando sua classificação como obra gerada por algoritmos.

O consenso é de que, mesmo que pesquisadores consigam criar ferramentas mais confiáveis do que as apresentadas pelas gigantes tech, onde nenhuma se salva, o ato de identificar e remover marcas d'água digitais de conteúdos gerados por IAs caminha para se tornar um jogo de gato e rato, com hackers, donos de materiais protegidos, e pesquisadores, desenvolverão cada vez nos e melhores técnicas para ficarem à frente dos rivais. Há inclusive empresas especializadas em soluções para driblar identificadores.

Pode ser que identificadores melhorem com o tempo, mas a verdade é que no momento, não há nenhum produto a prova de hackers; até mesmo o DeepMind reconhece isso, ao dizer que o SynthID "não é perfeito". O problema reside em se as autoridades, como os reguladores europeus, vão aceitar tal realidade.

Provavelmente, não.

Referências bibliográficas

ZHAO, X., ZHANG, K., SU, Z., VASAN, S. et al. Invisible Image Watermarks Are Provably Removable Using Generative AI. arXiv (Cornell University), 16 páginas, 2 de junho de 2023. Disponível aqui.

BANSAL, A., CHIANG, P. Y., CURRY, M., JAIN, R. et al. Certified Neural Network Watermarks with Randomized Smoothing. arXiv (Cornell University), 16 páginas, 16 de julho de 2022. Disponível aqui.

Fonte: WIRED