Disrupting DeepFakes - A Cross-Model Evaluation

Abstract

In recent years, with the advance of generative models, DeepFake has become a real riskto society and introduced potential threats to individual privacy and political security. In responseto this escalating concern, considerable efforts have been devoted to the developmentof defense mechanisms against DeepFake manipulation.While DeepFake Detection, a passive defense strategy, has been employed as an expostcountermeasure, its efficacy in preventing the spreading of misinformation is limited.To address this problem, researchers have explored proactive defense techniques, such as theintroduction of adversarial noises into source data, aiming to disrupt DeepFake manipulation,making it impossible to generate realistic images. However, existing studies on DeepFakeDisruption often overlook the critical aspects of the transferability of adversarial attacks andtheir resilience against image reconstruction methods.Unfortunately, most current disruption methods fail to be effective in real-world scenarios,where the specific DeepFake model and the targeted attribute for manipulation areunknown. Consequently, this dissertation seeks to critically examine existing disruptionmethods, evaluating their capacity to transfer seamlessly across diverse DeepFake modelsand domains. Additionally, this research aims to assess the robustness of these methodsagainst various image reconstruction techniques, thereby contributing to the development ofmore effective and versatile defenses against the growing threat of DeepFake technology.

Nos últimos anos, com o avanço dos modelos generativos, a técnica DeepFake tornouseum risco para a sociedade e introduziu potenciais ameaças à privacidade individual e àsegurança política. Em resposta a esta preocupação crescente, foram dedicados consideráveisesforços ao desenvolvimento de mecanismos de defesa contra a manipulação de DeepFake.Enquanto a deteção de DeepFake, uma estratégia de defesa passiva, tem sido utilizadacomo uma contramedida ex-post, a sua eficácia em prevenir a propagação de desinformaçãoé limitada. Para lidar com este problema, estudos atuais têm explorado técnicas de defesaproativas, como a adição de perturbações adversariais a imagens, com o objetivo de perturbara manipulação de DeepFake, tornando impossível a geração de imagens realistas. Noentanto, a maioria dos métodos de Disrupção de DeepFake negligencia aspetos críticos parauma defesa resistente, nomeadamente a transferibilidade dos ataques adversariais e a suaresistência contra métodos de reconstrução de imagem.Infelizmente, a maioria dos métodos atuais de disrupção falha em ser eficaz em cenáriosdo mundo real, onde o modelo específico de DeepFake e o atributo alvo para manipulação sãodesconhecidos. Posto isto, esta tese tem como objetivo examinar criticamente os métodos dedisrupção existentes, avaliando a sua capacidade de transferência entre modelos e domíniosdiversos de DeepFake. Para além disso, este estudo visa avaliar a robustez deste tipo demétodos contra várias técnicas de reconstrução de imagem, contribuindo assim para o desenvolvimentode defesas mais eficazes e versáteis contra a ameaça crescente da tecnologiaDeepFake.