Cách duy nhất để chống lại deepfake là tạo ra deepfake

Tôi không chắc liệu bố mẹ mình có nhận ra giọng nói ở đầu dây bên kia không phải là của tôi — hay đó là của tôi, theo một nghĩa nào đó, nhưng không phải là tôi. Giọng nói đó chào hỏi, hỏi bố tôi sức khỏe thế nào, và hỏi lại khi ông không phản hồi đủ nhanh. "Cái gì đó thế, Gaby ạ?" Ông nhận ra có gì đó không ổn ngay lập tức. Tôi giải thích rằng tôi đã cố gắng lừa ông và rõ ràng là không thành công. "Đúng là không," ông nói. "Nghe giống robot quá."

Đó không phải là một thí nghiệm hoàn hảo. Bố mẹ tôi đang ở nước ngoài, khiến kết nối kém chất lượng. Họ đang ăn trưa với bạn bè, và giọng nói đó không thể xử lý được việc chồng chéo âm thanh hoặc độ trễ — nó cố gắng lấp đầy khoảng lặng. Và quan trọng nhất, giọng nói đó nghe có vẻ con người, nhưng không giống tôi.

Giọng nói đó được tạo ra bởi công ty phát hiện deepfake Reality Defender. Vấn đề của các phương tiện truyền thông bị thao túng không phải là mới, nhưng sự ra đời của các công cụ AI dành cho người tiêu dùng đã khiến việc tạo ra âm thanh, video và hình ảnh giả trở nên vô cùng dễ dàng. Nhiều công ty đã ra đời trong những năm gần đây để chống lại điều này. Reality Defender, Pindrop và GetReal là một phần của ngành công nghiệp phát hiện deepfake đang phát triển nhanh chóng, được định giá khoảng 5,5 tỷ USD tính đến năm 2023. Các startup này sử dụng học máy (machine learning) để xác định các phương tiện truyền thông bị giả mạo. Để chiến đấu với deepfake, bạn phải có khả năng tạo ra chúng.

Thử nghiệm giọng nói AI với bố mẹ tác giả

Cuộc chiến AI chống AI

Thuật ngữ "deepfake" đề cập đến một loại phương tiện truyền thông bị thao túng cụ thể được tạo ra bằng "deep" learning (học sâu), nhưng ngoài cách thức tạo ra chúng, không có điểm chung nào kết hợp tất cả các deepfake. Chúng đã được sử dụng cho lừa đảo, quấy rối và các meme (ảnh chế). Các công cụ như Grok AI đã dẫn đến sự gia tăng của các deepfake tình dục không đồng thuận, bao gồm cả vật liệu lạm dụng tình dục trẻ em. Những kẻ lừa đảo đã nhân bản giọng nói của mọi người, gọi cho người thân của họ và để giọng nói đó nói rằng họ đang bị bắt cóc để tống tiền. Trong cuộc bầu cử năm 2024, một chiến lược gia chính trị và một ảo thuật gia đã hợp tác để tạo ra một deepfake của cựu Tổng thống Joe Biden, dùng để ngăn cản những người Dân chủ đã đăng ký ở New Hampshire bỏ phiếu trong cuộc bầu cử sơ bộ của bang. Chủ tịch Ủy ban Đối ngoại Thượng viện đã nhận một cuộc gọi Zoom từ một người dùng AI để mạo danh quan chức Ukraine. Ở cấp độ doanh nghiệp, lừa đảo deepfake hiện nay đã trở nên "công nghiệp hóa", theo một nghiên cứu.

Ngành công nghiệp phát hiện deepfake chủ yếu tồn tại để giải quyết một trong những vấn đề này: vấn đề lừa đảo doanh nghiệp.

Reality Defender thực chất đang huấn luyện AI để chống lại AI. Công ty sử dụng "mô hình dựa trên suy luận" để phát hiện deepfake, CTO Alex Lisle cho tôi biết. "Mô hình nền tảng của chúng tôi sử dụng một thứ gọi là mô hình giáo viên/học sinh. Chúng tôi lấy một loạt vật thật và nói, 'Đây là thật', sau đó lấy một loạt vật giả và nói 'Đây là giả'."

Gia đình là bài kiểm tra khó nhất

Đối với bản sao giả của tôi, chúng tôi đã dành thời gian tinh chỉnh giọng nói: điều chỉnh độ nhất quán, sự ổn định và tông giọng để nó nghe giống tôi thật hơn. Chúng tôi chỉ có thể làm được nhiều đến thế. Không có nhiều đoạn video nói tiếng Tây Ban Nha công khai của tôi — ngôn ngữ tôi dùng để giao tiếp với bố mẹ — ngoại trừ một cuộc phỏng vấn podcast năm 2021, phần lớn không sử dụng được vì có nhạc nền. Nhưng với chín giây âm thanh và dữ liệu được thu thập từ nhiều năm đăng bài, chúng tôi đã có thể ghép lại một tác nhân AI somewhat thuyết phục có thể trò chuyện với bố mẹ tôi, dù là một cuộc trò chuyện vô cảm. Mô hình tiếng Anh chúng tôi sử dụng cho anh trai tôi tốt hơn, vì chúng tôi có nhiều dữ liệu huấn luyện hơn, nhưng ngay cả khi đó, nó vẫn chưa đủ thuyết phục.

Nhưng gia đình là bài kiểm tra khó khăn nhất.

"Bọn họ biết giọng bạn nghe như thế nào," Scott Steinhardt, người đứng bộ phận truyền thông của Reality Defender, nói với tôi. Steinhardt đã tạo ra deepfake này với sự đồng ý của tôi và tinh chỉnh nó cho đến khi nó nghe giống tôi hơn hoặc kém. Nó có thể không lừa được gia đình tôi, nhưng có lẽ nó đủ tốt để lừa đồng nghiệp hoặc các thực thể doanh nghiệp như ngân hàng.

Chúng ta đã tin vào tai và mắt mình trong suốt 40.000 năm qua, nhưng bây giờ chúng ta không thể làm thế nữa.

Để hiệu quả, các công cụ này phải hoạt động nhanh. AI tạo sinh khá chậm. Mô hình chúng tôi sử dụng để gọi cho bố mẹ tôi đã hy sinh chất lượng để lấy tốc độ. Để giọng nói phản hồi nhanh, chúng tôi phải chấp nhận chất lượng thấp hơn tổng thể. Chuyển văn bản thành giọng nói (text-to-speech) tốt hơn nhiều, nhưng mất nhiều thời gian để tạo hơn. Khi chúng tôi để giọng nói đọc đoạn độc thoại của Lucky trong Waiting for Godot, nó nghe gần như y hệt tôi.

Lừa đảo doanh nghiệp và ranh giới tin cậy

"Là một cá nhân, việc không bị deepfake là khá thách thức," Nicholas Holland, giám đốc sản phẩm của Pindrop, cho biết. "Tôi nghĩ rằng thách thức về 'Làm thế nào tôi bảo vệ danh tính cá nhân của mình?' là điều mà thế giới vẫn chưa tìm ra giải pháp. Tôi nghĩ 'Làm thế nào các tổ chức của tôi biết đó là tôi?' là nơi các tổ chức khác nhau đang triển khai các lớp bảo mật khác nhau."

Đó cũng là vấn đề tài nguyên. Tôi không có tiền để thuê một công ty phát hiện deepfake để lọc các cuộc gọi của mình, nhưng ngân hàng của tôi thì có — và ngân hàng của tôi có nhiều thứ để mất hơn, xét về tuyệt đối nếu không phải là tương đối. Một khảo sát năm 2024 cho thấy các doanh nghiệp đã mất 450.000 USD cho mỗi sự cố deepfake, với hơn một công ty bị mất hơn 1 triệu USD trong một giao dịch lừa đảo duy nhất.

Một số trường hợp này liên quan đến những kẻ lừa đảo đóng vai giám đốc điều hành, gọi cho cấp dưới và yêu cầu họ chuyển số tiền lớn vào tài khoản của họ. Trước khi tôi đăng nhập vào cuộc gọi với Holland, tôi nhận được một thông báo bật lên trên Zoom:

Cuộc họp này đang được phân tích. Pindrop Security và các nhà cung cấp bên thứ ba của họ ghi lại âm thanh và video cuộc họp của bạn để xác định xem bạn có phải là người thật và/hoặc đúng người hay không. Bằng cách nhấp vào 'Đồng ý' bên dưới, bạn đồng ý cho Pindrop thu thập, sử dụng và lưu trữ cuộc họp và âm thanh, quét giọng và khuôn mặt của bạn (có thể được coi là thông tin sinh trắc học) và địa chỉ IP của bạn (để xác định thêm tiểu bang, tỉnh hoặc quốc gia của bạn) cho các mục đích trên.

Họ đảm bảo với tôi rằng khuôn mặt, giọng nói và địa chỉ IP của tôi sẽ được lưu giữ không quá 90 ngày.

Holland cho biết các công ty hiện đang bị ngập bởi những người nộp đơn xin việc giả — một cách mỉa mai, thậm chí cả tại Pindrop. "Chúng tôi thấy một loạt các trường hợp. Chúng tôi thấy nơi mọi người thực sự làm công việc, có thể họ làm việc trong bộ phận IT," Holland nói. "Chúng tôi đã có khách hàng thuê được ai đó, nhưng sau đó người đó đã giới thiệu người khác. Họ đã thuê thêm hai người và hóa ra là cùng một người được thuê ba lần bằng ba giọng nói khác nhau, ba khuôn mặt khác nhau, ba danh tính Slack khác nhau."

Thông thường, những người này không phải là nhân vật video được tạo hoàn toàn bởi AI; họ là những người sử dụng công nghệ deepfake để thay đổi các đặc điểm của chính mình, gần giống như một chiếc mặt nạ kỹ thuật số. Trước đây có một mẹo để phát hiện điều này: yêu cầu người đó giơ ba ngón tay trước mặt.

"Điều đó hoàn toàn không còn hiệu quả nữa. Các mô hình AI quá tốt đến mức chúng hoàn toàn có thể tạo ra bàn tay, bạn có thể đặt bàn tay trước mặt mình," Holland nói. "Về cơ bản, mắt thường không thể nhận ra bây giờ."

Tương lai của phát hiện deepfake

Lisle từ Reality Defender cho biết khi công nghệ cải thiện, các cuộc tấn công trở nên ít tốn công sức hơn. Trong khi những kẻ lừa đảo trước đây mạo danh một giám đốc điều hành duy nhất, bây giờ chúng nhắm đến nhân viên ở mọi cấp độ của công ty. Ông kể cho tôi nghe về một cuộc tấn công gần đây vào một công ty niêm yết mà ông từ chối nêu tên, trong đó kẻ lừa đảo đã vào LinkedIn, kéo tên của mọi nhân viên hiện tại, sau đó cạo dữ liệu từ TikTok và Facebook để tạo ra "kho thông tin" và lấy dấu giọng cho từng người này. Thông tin và dấu giọng của họ được đưa vào một Mô hình Ngôn ngữ Lớn (LLM), vốn xây dựng một bối cảnh và bản đồ, sau đó "bắn phá toàn bộ công ty" bằng cách gọi cho nhân viên ở mọi cấp độ.

Trong an ninh mạng, chúng ta nói về những thứ gọi là 'ranh giới tin cậy'," Lisle nói. "Vấn đề với deepfake là luôn có ranh giới tin cậy ngầm định đó, đó là thấy và nghe là tin. Chúng ta đã tin vào tai và mắt mình trong suốt 40.000 năm qua, nhưng bây giờ chúng ta không thể. Có tất cả những ranh giới tin cậy mà chúng ta chưa bao giờ phải nghĩ đến trước đây mà những kẻ tin tặc đang khai thác theo những cách thú vị."

Hiện tại, phần mềm này chỉ nhắm đến các công ty lớn — họ có nhu cầu, rủi ro cao và túi tiền dày dặn để trả tiền. Nhưng người bình thường không có phần mềm phát hiện deepfake, và cũng sẽ không có trong tương lai gần. Holland giải thích rằng thách thức lớn nhất đối với việc áp dụng đại trà là nhận thức, vì "nhiều người tiêu dùng không nhận ra mối đe dọa, vì vậy họ không biết cách tìm giải pháp — điểm khởi đầu là với các doanh nghiệp phục vụ người tiêu dùng." Pindrop chưa có sản phẩm dành cho người tiêu dùng, nhưng chưa loại trừ khả năng phát triển một sản phẩm trong tương lai. Thách thức, Holland nói, là "làm cho các hệ thống này đủ nhanh, chính xác và đáng tin cậy để mọi người có thể dựa vào chúng trong những khoảnh khắc hàng ngày."

Reality Defender có một quan điểm khác. Steinhardt cho biết một sản phẩm dành cho người tiêu dùng sẽ tạo ra "một sân chơi không đồng đều và lộn xộn cho mọi người."

"Hãy nghĩ về nó như phần mềm chống virus: Trong khi đây từng là thứ mà từng cá nhân phải lo lắng (hoặc tệ hơn là không lo), thì bây giờ trình duyệt, nhà cung cấp email, nhà cung cấp internet của chúng tôi và những thứ tương tự đều đang quét tệp trước khi chúng đến máy tính của chúng ta để tìm phần mềm độc hại," Steinhardt nói. "Đó là cách tiếp cận của chúng tôi đối với phát hiện deepfake."

Deepfake của tôi không thể lừa được gia đình tôi, nhưng tôi thực sự chưa thử thách nó nghiêm túc. Trong nhiều năm, các cơ quan thực thi pháp luật trên cả nước đã cảnh báo về vụ lừa đảo bắt cóc deepfake: Một phụ huynh sẽ nhận được cuộc gọi từ một giọng nói rất thuyết phục cầu cứu, sau đó "kẻ bắt cóc" sẽ đòi tiền chuộc. Ngay cả khi giọng nói không hoàn toàn thuyết phục, tiếng khóc và la hét thì có. Tôi không thể nỡ làm thế với bố mẹ mình, ngay cả khi nó là giả. Tôi đã cân nhắc briefly các lừa đảo khác: Tôi có thể gọi ngân hàng của mình, hoặc có thể là công ty bảo hiểm y tế của mình, nhưng ý tưởng tự khóa mình khỏi tài khoản của chính mình — hoặc thực hiện hành vi lừa đảo thực sự, hợp pháp — khiến tôi chán nản với thí nghiệm này. Thay vào đó, tôi gọi cho anh trai mình. "Ôi KHÔNG," anh ấy nói ngay khi giọng nói chào anh ấy. Anh ấy cũng không bị lừa.