人工智能生成的媒体中可能隐藏秘密信息

2010年6月27日，美国联邦调查局（FBI）在纽约市附近逮捕了10名俄罗斯间谍，他们以美国专业人士的身份生活和工作。这起案件揭开了一个错综复杂的假身份和秘密会面系统，暴露出冷战结束后美国境内最大的间谍网络之一，并启发了电视剧《美国谍梦》的创作。此案也引起人们对隐写术的关注，这是一种将秘密信息伪装在另一种信息中的方式。纽约的间谍们通过公开网站上看似无害的图片中隐藏秘密信息，将通信编码在图像像素中。要解读这些信息，接收者需要下载图片，将其转化为二进制代码中的1和0，并知道哪些被修改过的数字按顺序排列能拼出秘密信息。隐写术是一门既讲究艺术又讲究科学的学科，与更广为人知的密文通信方法——密码学不同。密码学通过将信息内容隐藏、转化为一团文本或数字来实现秘密通信，而隐写术则隐藏了秘密本身的存在。“隐写术隐藏的是信息的存在，”伯尔尼大学的计算机科学家和密码学家Christian Cachin说，“如果对手能够探测到隐含的信息，那么发送者就输掉了这场游戏。”与任何隐蔽通信方式一样，挑战在于如何实现绝对的安全性，即无论是人类还是机器检测器都无法察觉信息中隐藏了秘密。长期以来，隐写术的绝对安全性只是一种理论上的可能，被认为在实际的人类通信中是不可能实现的。随着类似ChatGPT这样的大型语言模型的出现，这一情况似乎可以改写。尽管人类生成的文本不可能保证绝对安全，但一项新的证明首次提出了一种实现机器生成信息中隐写术绝对安全的方法——无论这些信息是文本、图像、视频还是其他媒体。该研究还提供了一组生成安全信息的算法，并正在努力将其与流行的应用程序相结合。“随着我们越来越成为一个与人工智能模型交互成为常态的社会，人们日常使用的媒体中也越来越多地提供了隐藏秘密信息的机会，”卡内基梅隆大学的计算机科学家Samuel Sokota说，他是这些新算法的开发者之一。这一成果源于信息理论的世界，它为理解各类通信提供了数学框架。这是一门抽象且整洁的领域，与实践中的复杂隐写术形成鲜明对比。宾汉顿大学的研究人员Jessica Fridrich说，这两个世界很少重叠。但是，这些新算法通过满足长期存在的安全理论标准，并提出将信息隐藏在机器生成内容中的实用方法，将它们结合了起来。这些新算法可能被像纽约的俄罗斯间谍那样的间谍利用，但也可能帮助那些试图将信息带入或带出禁止加密渠道国家的人们。**剃光头和其他策略**隐写术（希腊语中意为“隐蔽书写”）的历史可追溯到数字媒体出现数千年前。最早的例子出现在公元前5世纪希罗多德的《历史》中。其中一个故事描述了一个信息被写在木板上，然后用一层蜡隐藏，以防止在传递过程中被拦截。另一个故事归功于战术家埃涅阿斯，他通过在某些字母上点上隐形墨水来隐藏信息，从而拼出真实的信息。还有一个更为极端的例子是，暴君希斯提亚斯想与他的侄子秘密沟通策略，于是剃光了奴隶的头，在他的头上纹上信息，等头发长出来后再派他送信。到达后，他的侄子剃掉送信人的头，从而揭示了计划。这些策略一直延续至今，技术的进步也让新的策略不断出现。第一次世界大战期间，德国间谍找到了通过微点发送信息的方法：他们将文件复制并缩小，直到它变得像字母“i”上的点一样大小，看似无害，但可以通过放大发现。政治家们也使用过这种欺骗手法。20世纪80年代，在一系列媒体泄密事件之后，英国首相玛格丽特·撒切尔据称重新编程了她的大臣们的文字处理系统，使每台电脑都有自己几乎无法察觉但独特的单词间距模式。这种微小的修改使泄露的文件可以追踪到源头。进入21世纪后，这种方法依然盛行，既有正面也有负面。现代隐写术的策略包括用隐形墨水书写信息（这也是纽约俄罗斯间谍使用的策略之一）、在绘画细节中隐藏艺术家签名，以及设计包含隐藏或倒放音轨的音频文件。Fridrich表示，数字媒体中的隐写术也可以在机器生成内容中实现。“有了生成模型，这种方法为理论和现实的结合提供了一条可能的路径。”她说。**现实世界中的挑战与前景**尽管这项技术前景广阔，但也存在一些限制。Cachin指出，找到真正的最小熵耦合是一个NP难问题，这意味着完美解决方案的计算成本太高，难以在现实中实现，这又回到了效率的问题。Sokota和Schroeder de Witt承认了这一点：最优耦合确实太复杂，难以计算。但为了绕过这个瓶颈，作者使用了一种由Sokota和Schroeder de Witt开发的近似方法（基于Kocaoglu提出的方法），这种方法仍然能保证安全性和合理效率。以下是他们设想的实际应用方式：假设一名异议人士或人权活动家希望从封锁严重的国家发送一条信息。WhatsApp或Signal等应用程序的插件将承担繁重的算法工作。Schroeder de Witt表示，第一步是选择一个覆盖文本分布——即从ChatGPT或类似的大语言模型中选择一个巨大的可能词汇集——以隐藏密文。然后，程序将使用该语言模型来近似覆盖文本和密文之间的最小熵耦合，并通过该耦合生成将被发送的字符字符串。对于外部对手来说，新文本将与无害的机器生成消息无法区分。它也不一定是文本：算法可以通过采样机器生成的艺术品（而不是ChatGPT）或AI生成的语音邮件音频来实现。新算法在隐藏消息的大小方面有所限制：Schroeder de Witt估计，以目前的技术，他们的系统可以在大约30秒的机器生成语音邮件中隐藏大约225KB的图像（或其他信息）。但这并不需要非常庞大才能成功。这足以让信息通过审查或当局的监管。Fridrich表示，她习惯于在现实世界的限制中工作，而不是考虑理论。“看到另一面很有趣，”她说。对她来说，这项新工作开始弥合理论证明和现实复杂性之间的差距。如果人们不使用机器生成的内容，那么新方案将无法保证安全。但随着其普及度的提高，她说，完美安全的可能性将变得更强。“一切取决于什么将成为典型情况，”她说。如果机器生成的一组看似自然的图像被广泛使用，那么人们习惯了这种图像后，就可以轻松创建一个富含秘密信息的图像来源。“有了生成模型，这种方法为理论和实践的结合提供了一条可能的路径，”她说。“显然，这也是一把双刃剑。”Fridrich说，“罪犯会使用它，但它也可以用于善举。”本文章经Quanta Magazine授权转载。Quanta Magazine是西蒙斯基金会的出版物，其使命是通过报道数学及物理和生命科学领域的研究进展和趋势，增强公众对科学的理解。阅读原始文章请访问此处。