Er is een wapenwedloop gaande tussen AI-algoritmes die fake beelden genereren en AI-algoritmes die diezelfde beelden kunnen ontmaskeren. De winnaar is reeds bekend: uiteindelijk zal AI-nepfoto’s maken die niet meer te detecteren zijn.
Chaos op de beurs
Op maandag 21 mei kliefde AI als een dubbelzijdig zwaard door het raderwerk van de financiële wereld. Toen op een schijnbaar betrouwbare, want blue-checked, Twitter-account een foto opdook van een brand bij het Pentagon in Washington DC, begonnen algoritmes die het nieuws volgen automatisch bepaalde aandelen van de hand te doen. De koersen in New York dipten daardoor even met een half procent. De beurs herstelde zich snel nadat de brandweer van Arlington County verklaarde dat er geen sprake was van brand bij het Amerikaanse ministerie van defensie en verschillende experts meldden dat de foto overduidelijk nep was.
Het voorval laat zien hoeveel chaos gezaaid kan worden met fake nieuws, vooral wanneer dit ondersteund wordt door realistische beelden of video’s op schijnbaar betrouwbare media. Hoewel realistisch? Mensen die ook maar enigszins bekend waren met het Pentagon, zagen meteen dat het gebouw op de foto niet het Pentagon was. Daarnaast wezen allerlei foutjes in het beeld erop dat de foto op een tamelijk knullige manier gemaakt was met behulp van een AI-beeldgenerator.
Als een slechte nep foto al zoveel paniek veroorzaakt, dan is het duidelijk dat een goede nep foto dat nog beter kan. AI-beeldgeneratoren zoals Midjourney, DALL-E2 en Stable Diffusion kunnen nu reeds in een handomdraai foto’s produceren die voor de kijker niet te onderscheiden zijn van foto’s die uit een camera komen. Zo levert Midjourney binnen een minuut deze vier beelden van de Notre Dame die, opnieuw, in vlammen op gaat. Lijkt het echt? Waarschijnlijk zijn de beelden geloofwaardig genoeg om miljoenen Parijzenaren de schrik in de benen te jagen. Vandaar dat we met grote letters aangeven dat dit fake is.
Het ontmaskeren van fake beelden
Dankzij Photoshop is het al dertig jaar mogelijk foto’s inhoudelijk te veranderen. Mensen en gebouwen kunnen uit beeld verdwijnen om weer op te duiken in andere foto’s. In de wereld van de glamour-, de mode- en reclamefotografie is dit gebruikelijk, maar in de nieuws- en documentairefotografie is dit uiteraard volstrekt taboe. Nieuwsfotografen mogen een beperkt aantal visuele correcties uitvoeren, maar niets inhoudelijk aan hun beelden veranderen. Bij een wedstrijd zoals de World Press Photo moeten fotografen daarom naast hun bewerkte jpg-bestanden ook de oorspronkelijke raw-bestanden aanleveren zoals die uit camera zijn gekomen. Het is uitermate moeilijk om raw-bestanden ongemerkt te veranderen.
Maar hoe zit dat met beelden die gegenereerd zijn door AI? Zijn er al methoden om te ontdekken of een foto uit een camera is gekomen dan wel louter in elkaar gepixeld is door een kunstmatige intelligentie? Jawel. Er zijn al een aantal websites die deze dienst verlenen. De site Optic is goed in het ontmaskeren van beelden die zijn gemaakt door de beeldgenerator van Midjourney. Je kunt een beeld uploaden naar Optic en de site vertelt dan binnen een paar seconden of het een echte foto is of een foto die gemaakt is door AI. Tot twee maanden geleden claimde Optic een accuracy van 95 procent. Nadat Midjourney uitkwam met een nieuwe, verbeterde algoritme daalde de accuracy van Optic onmiddellijk tot 88.9 procent.
AI-beeldgeneratoren vertalen woorden in beelden via een complex proces dat stable diffusion heet. De algoritmen zijn getraind op tientallen miljoenen Internetbeelden en de woorden die zijn gebruikt om deze beelden te beschrijven. Beelddetectoren zijn eveneens gebaseerd op AI-modellen. Zij zijn getraind met behulp met datasets van authentieke beelden en datasets van AI-beelden en leren met vallen en opstaan onderscheid te maken tussen beide. Het is dus duidelijk een kwestie van boeven gebruiken om boeven te vangen. Op identieke wijze zijn er detectoren ontwikkeld om teksten te ontdekken die niet zijn geschreven door een mens maar door een AI-programma. De vraag is ook hier welke boef de slimste is.
‘Het is een wapenwedloop tussen generatoren en detectoren,’ zegt Jelle Zuidema, universitair hoofddocent explainable AI aan de UvA. ‘Kijk, Google heeft besloten om alle AI-beelden die het genereert te voorzien van een verborgen watermerk. Dan heb je dus een coöperatieve setting, waarbij je dus onmiddellijk kunt detecteren dat een beeld gegenereerd is door een machine. Maar bij een adversarial setting wordt een beeldgenerator expliciet getraind detectie te ontlopen.’ In deze wedloop ligt de generator volgens Zuidema altijd een stap voor op de detector. Bij iedere nieuwe versie zal de algoritme niet alleen betere beelden leveren, maar ook beelden die moeilijker te detecteren zijn. De detector moet dan verbeterd worden om nog met een zekere betrouwbaarheid AI-beelden te kunnen ontmaskeren.
Zolang er systematische fouten in AI-beelden zitten, zal het mogelijk blijven ze te detecteren. Sommige foutjes zitten op het niveau van de pixels. Beeldgeneratoren gebruiken een Vision Transformer die beelden opdeelt in blokjes en de grensvlakken van die blokjes zijn bij uitvergroting te detecteren. Andere fouten zijn met het blote oog waar te nemen. Zo is het bekend dat Midjourney problemen heeft met de juiste weergave van handen en vingers. Er duiken in de beelden met enige regelmaat personen op met vier of zes of zeven vingers of met vingers die op een onmogelijke manier aan een hand vast bezitten. Dit probleem zal ongetwijfeld in nieuwe versies van het programma worden verholpen.
Regelgeving
Het zal volgens Zuidema voor de detectoren steeds lastiger worden nepfoto’s te ontmaskeren omdat de beeldgeneratoren steeds beter en steeds complexer worden, ‘De beelddetectoren zullen steeds meer rekenkracht nodig hebben om door machines gegenereerde beelden te herkennen,’ aldus Zuidema. ‘Voor forensische toepassingen en bij veiligheidsdiensten kun je nog veel rekenkracht en menselijke interventie inzetten, maar voor meer alledaagse toepassingen is dat op een gegeven moment niet meer te doen.’
Er zal een moment komen waarop de nepfoto’s van AI niet langer te onderscheiden zijn van echte en de beeldgeneratoren de winnaars blijken van de wapenwedloop. Een reden te meer om ervoor te zorgen dat er wetgeving komt. ‘Je kunt de de aanbieders van deze beeldgeneratoren verplichten om net als Google een onzichtbaar watermerk toe te passen,’ zegt Zuidema. ‘Je kunt gemakkelijk in een beeld een onzichtbaar patroon van pixels plaatsen dat het detecteren gemakkelijk maakt. Als je geheimhoudt wat het watermerk is, dan is het ook heel moeilijk om het te verwijderen.’
Adobe, het bedrijf dat tot nu toe als geen ander fotografen de mogelijkheid heeft geboden beelden van de werkelijkheid ingrijpend te veranderen, is inmiddels ook het pad van de AI ingeslagen. Het bedrijf heeft recentelijk een bèta-versie van de AI-tool Generative Fill toegevoegd aan photoshop. De gebruiker kan nu door woorden in te typen het programma de opdracht geven objecten en achtergronden in een beeld te verwijderen of compleet nieuwe elementen of achtergronden aan een beeld toe te voegen.
Toch is ook Adobe beducht voor de mogelijkheid AI te gebruiken voor misleiding. Het bedrijf lanceerde vier jaar geleden zijn Content Authenticity Initiative. Bij dit initiatief gaat het erom dat aan alle beelden, fotografie en video, een label met niet te corrumperen metadata wordt bevestigd dat aangeeft waar en wanneer het is gemaakt en hoe het beeld is bewerkt of veranderd. Het kan zo de authenticiteit van een beeld garanderen. Inmiddels hebben meer dan duizend bedrijven – waaronder grote namen als Nikon, Leica, The New York Times, Washington Post, Intel en Twitter – zich bij dit initiatief aangesloten.
