Il watermarking è diventato di fondamentale importanza oggi, visto il dilagare di immagini e video di difficile autenticazione, soprattutto nell’era dell’AI generativa. Ma questa pratica, che si trova a dover affrontare innumerevoli difficoltà nel rispondere alle sfide del mondo odierno, è tutt’altro che recente.
Antichi modelli di watermark ante-litteram, presenti sotto forma di filigrana sono ravvisabili nella carta, nelle marche da bollo e nelle banconote dal XIII secolo in avanti. L’operazione di marchiare un oggetto o un’opera è da molto tempo fedele compagna di chi abbia bisogno di affermare la paternità di un prodotto, per questo non sorprende che anche oggi, di fronte alle sfide imposte dall’avvento delle intelligenze artificiali, si sia tornati a volgere lo sguardo a questa prassi.
Protocollo C2PA, contro deep fake e disinformazione: certificazione dei contenuti generati dall’AI
Il watermarking per i contenuti digitali
Il watermarking, oggi praticato in maniera ovviamente digitale, può avere due diverse funzioni: esso, infatti, può essere utilizzato per segnalare al fruitore di un’immagine, di un video o di un documento quale sia il suo vero autore, fungendo così da equivalente grafico del copyright.
Applicazioni concrete del Metaverso nel marketing: ecco come può realmente fare la differenza!
In questo caso, è usato come marchio per definire la proprietà di un prodotto audiovisivo.
Accanto a tale funzione tradizionale, ne esiste un’altra che sta acquisendo sempre più rilevanza, visti i recenti sviluppi dell’intelligenza artificiale e dei suoi possibili impieghi. Infatti, diventa sempre più difficile per gli utenti riconoscere un’immagine reale da una artificiale, e lo sviluppo tecnologico del deep fake ha raggiunto livelli tali da richiedere una forma di regolamentazione del fenomeno.
L’applicazione di questa “firma” digitale può essere un valido strumento in questo senso, perché esso può anche essere invisibile, inserito senza che l’immagine subisca alcun tipo di cambiamento percepibile.
In questo modo, anche le immagini generate dall’AI avrebbero un segno che le identifica e le distingue da quelle reali, senza che però la loro qualità e la fruibilità venga alterata.
Come viene applicato un watermarking
Nel contesto pratico, il watermarking si articola in due fasi distinte:
- la fase di creazione, in cui le firme digitali vengono generate durante l’addestramento del modello insegnandogli ad incorporare un segnale o un identificatore specifico nel contenuto generato;
- la fase di identificazione, che inizia dopo aver implementato il modello di intelligenza artificiale, utilizzando algoritmi specializzati per rilevare la firma incorporata e facilitare il riconoscimento del contenuto come generato dall’IA.
Un marchio ben progettato dovrebbe consentire la rilevazione del contenuto generato dall’IA e la determinazione della sua origine.
A questo proposito, il centro di ricerca americano Brooking Institute ha rilasciato un report sull’uso del watermarking in relazione all’AI, nel quale viene sottolineato che tale strumento di firma è preciso e utile per la lotta alla contraffazione, ma non è privo di margini di errore. Infatti, una volta inserito nei contenuti generati dall’AI non è difficile da rimuovere per chi possieda le competenze per farlo.
Uno studio condotto dagli esperti di informatica dell’Università del Maryland (UMD) si è occupato di indagare proprio questo aspetto, testando la resistenza dei watermark: da queste ricerche è emerso come per un malintenzionato sia incredibilmente facile non solo rimuovere il riconoscimento, ma anche aggiungerlo a un’immagine autentica.
In un’intervista pubblicata da Wired, Soheil Feizi, professore dell’UMD, ha condiviso le scoperte del suo team esprimendo grande diffidenza nei confronti dell’affidabilità del watermarking.
Una ricerca analoga, nata dalla collaborazione tra tre diverse università, University of California, University of Santa Barbara e Carneige Mellon University, è arrivata a interessanti risultati attraverso un approccio empirico che ha utilizzato degli attacchi simulati sui watermark.
Lo studio ha rilevato che esistono sostanzialmente due strategie per la rimozione dei marchi:
- la prima consiste in un approccio chiamato “distruttivo”, nel quale chi intende rimuovere il riconoscimento, procede trattandolo come fosse parte dell’immagine. Attraverso la modifica di elementi come il livello di luminosità, il contrasto o la compressione JPEG, o anche solo ruotando l’immagine, esso può essere rimosso. Viene definito come distruttivo perché comprende modifiche che possono alterare la qualità dell’immagine, rovinandola;
- la seconda strategia, invece, consiste in un approccio detto “costruttivo”, che utilizza tecniche meno pesanti, come semplici sfocature.
Inoltre, lo studio si è posto la finalità di spostare gli investimenti delle ricerche dai watermark invisibili, che si sono rivelati non efficaci in tutti gli esperimenti, ad altre tipologie maggiormente efficaci.
L’alternativa proposta consiste nell’utilizzo di un diverso tipo di attestazione, visibile ma non rappresentata da un marchio o da un logo (che, come si è visto, risulta facilmente modificabile ed eludibile), ma da una forma di marcatura che riprenda semanticamente gli elementi di quella originale: tale soluzione si è dimostrata molto più resistente agli attacchi mossi dal team di studiosi e, anche se altera il contenuto dell’immagine, è considerata la strategia più efficace per il rilevamento di contenuti artificiali.
Chi può rilevare le firme digitali?
Un ulteriore elemento di discussione sull’effettiva efficacia di questo strumento riguarda la determinazione dei soggetti in grado di rilevare le firme digitali, introducendo complessità legate all’autorità, all’abuso e al controllo tecnico.
Infatti, se da un lato una rilevazione diffusa potrebbe comportare rischi di abusi da parte di attori malintenzionati, dall’altro un accesso controllato, specialmente da parte delle principali aziende di IA, potrebbe ostacolare la trasparenza.
Inoltre, emergono preoccupazioni sulla privacy poiché queste tipologie di sistemi di tracciamento, potrebbero mettere a rischio determinate categorie di “content creator”, in particolare quelli che includono informazioni identificative.
I regolatori dovrebbero dunque fornire indicazioni chiare per bilanciare la privacy e l’utilità pratica nelle tecniche di divulgazione al fine di affrontare efficacemente queste sfide.
I punti deboli dell’uso del watermarking
In definitiva, anche se nella teoria il watermarking sembra essere la soluzione migliore per rilevare l’uso dell’intelligenza artificiale nella produzione di contenuti, nella realtà dei fatti le sue applicazioni si dimostrano parzialmente fallimentari.
In questa linea interpretativa, Ben Colman, CEO della startup di rilevamento AI Reality Defender, ha espresso il suo scetticismo circa le possibilità di impiego dei watermarks, sottolineando la facilità con cui questi possono essere falsificati, rimossi o ignorati.
Non tutti gli esperti, tuttavia, sono così categorici; alcuni, pur concordando sui limiti di funzionamento di questa protezione, la ritengono comunque il miglior sistema per il rilevamento dell’AI, giudicando però necessario riconoscerne i limiti e la necessità di ulteriori sviluppi.
Infatti, i diversi studi che ne hanno confermato la fallacità non hanno lo scopo di scoraggiarne completamente l’utilizzo come strumento di autenticazione, bensì quello di ridimensionare le aspettative generali sulle sue capacità.
È necessario, pertanto, comprendere che una firma digitale sarà sempre potenzialmente eludibile, perché per quanto questa tecnologia possa svilupparsi e migliorare, lo stesso accadrà ai sistemi creati per falsificarla e bypassarla.
La situazione sembra assumere i tratti di una guerra aperta contro gli hacker e finché non verrà creato un modello in grado di resistere agli attacchi simulati come quelli portati avanti negli studi citati, non si potrà fare altro che contare sull’efficacia di nuovi strumenti come SynthId di Google, creato per riconoscere l’origine delle immagini e rilevare quelle create artificialmente.
Il watermarking, dunque, come afferma anche Tom Goldstein, professore di informatica dell’Università del Maryland, va inteso come uno strumento per arginare i danni provocati dalla diffusione di immagini create dall’intelligenza artificiale e non come arma contro attacchi di alto livello.
Pertanto, come sottolineato anche dal report del Brooking Institute, l’obiettivo non deve consistere nella creazione di un sistema di tracciamento infallibile: questa soluzione è infatti impossibile. Sarebbe più opportuno quindi concentrarsi sulla creazione di diversi strumenti di rilevamento, ognuno specifico per il contesto di provenienza del contenuto e utilizzato in sinergia con gli altri, allo scopo di identificare il maggior numero possibile di immagini artificiali.
In conclusione
L’uso del watermarking in relazione all’AI e ai contenuti da essa generati pare essere ancora lontano da una versione che possa raggiungere i suoi scopi in modo soddisfacente.
Per arrivare a questo risultato sarà probabilmente necessario che nei prossimi anni vengano potenziati gli investimenti sia a livello privato che statale in modo da far progredire tale promettente tecnologia.
Password e sicurezza: come creare parole-chiave inviolabili ma facili da ricordare
Identity & Access Management
@RIPRODUZIONE RISERVATA