秘密信息可以隐藏在人工智能生成的媒体中

结果来自信息论领域，它为理解各种通信提供了一个数学框架。这是一个抽象而整洁的领域，与实际隐写术的复杂混乱形成鲜明对比。杰西卡·弗里德里希 (Jessica Fridrich)是宾厄姆顿大学 (Binghamton University) 的研究人员，他研究在数字媒体中隐藏（和检测）数据的方法，世界并不经常重叠。但新算法通过满足长期存在的安全理论标准并建议在机器生成的内容中隐藏消息的实际应用，将它们结合在一起。新算法可以被像纽约俄罗斯人这样的间谍利用，但它们也可以帮助人们试图从禁止加密渠道的国家获取信息。

剃光头和其他策略

隐写术在希腊语中是“隐写”的意思，比数字媒体早了几千年。

已知最早的例子出现在公元前 5 世纪希罗多德的《历史》中。在一个故事中，一条信息被写在木板上，并被一层蜡隐藏起来，以避免在途中被拦截。在另一幅画中，据称是战术家埃涅阿斯 (Aeneas the Tactician)，一条消息在某些字母上隐藏了看不见的墨水点，这些字母拼出了真实的消息。在一个更极端的例子中，暴虐的首领希斯提埃乌斯想不被发现地向他的侄子传达一个策略，所以他剃了一个奴隶的头，将他的信息刺在这个人的头上，等头发长回来再派遣使者。到达后，侄子剃了信使的头，透露了计划。

这些策略一直存在，技术也允许新的策略出现。第一次世界大战期间的德国间谍找到了通过微点传输信息的方法：他们复制并缩小一份文件，直到它像一个“i”的点一样小，看起来无辜，但可以通过放大来揭示。

政客们也转向了欺骗的手段。在 1980 年代，在一系列新闻泄密之后，据称英国首相玛格丽特·撒切尔 (Margaret Thatcher) 对她的部长们的文字处理器进行了重新编程，以便每个人都有自己的、几乎无法察觉但独特的字间距模式。这种细微的修改使泄露的文件能够追溯到源头。

这种方法在 21 世纪继续蓬勃发展，无论好坏。现代隐写术策略包括用隐形墨水书写信息（俄罗斯间谍在纽约使用的另一种策略），在绘画细节中隐藏艺术家签名，以及设计带有隐藏或反向轨道的音频文件。弗里德里希说，数字媒体中的隐写术方法还可以帮助隐藏语音邮件文件中的图像，或者像俄罗斯间谍一样，将书面文本放入篡改过的照片中。

形式化保密

Cachin 说，直到 1980 年代，数学家和计算机科学家才开始为隐写术寻找正式的数学规则。他们转向信息论，该领域始于克劳德·香农(Claude Shannon) 1948 年的开创性论文“通信的数学理论”，该论文建立了一种分析方法来思考通过通道发送和接收信息。 （香农为电报线建模，但他为今天的数字技术奠定了基础。）他使用术语“熵”来量化变量中的信息量——例如，编码字母或消息所需的位数——以及1949 年，他制定了完全安全的密码学规则。但是香农没有解决隐写术中的安全问题。

将近 50 年后，卡钦做到了。按照香农的精神，他的方法是以概率的方式思考语言。考虑两个代理人，爱丽丝和鲍勃，他们想通过隐写术传达一条消息，并对他们的对手夏娃保密。当 Alice 向 Bob 发送无害消息时，她从整个英语词典中选择单词。这些词具有与之相关的概率；例如，“the”这个词比“lexicon”更有可能被选中。总之，单词可以表示为概率分布。如果 Alice 使用隐写术向 Bob 发送编码消息，则该消息将有自己的概率分布。

信息理论家使用称为相对熵的度量来比较概率分布。这就像测量一种抽象的距离：如果两个分布之间的相对熵为零，“你不能依靠统计分析”来揭开秘密，牛津大学的计算机科学家Christian Schroeder de Witt说新文章。换句话说，如果未来的间谍开发出一种绝对安全的算法来走私机密，任何基于统计的监视都无法检测到它。他们的传输将被完全隐藏。

但 Cachin 的证明依赖于关于隐藏秘密的消息的关键假设，即所谓的封面文本。 Cachin 说，为了想出一条与原始的、无害的消息无法区分的新消息，你必须创建一个完美的封面文本分布模拟。例如，在书面信息中，这意味着使用某种可以完美模拟一个人的语言的工具。但是人工生成的文本太乱了。有可能接近——ChatGPT 和其他大型语言模型可以产生令人信服的模拟——但它们并不精确。 “对于人工生成的文本，这是不可行的，”卡钦说。出于这个原因，完全安全的隐写术长期以来似乎遥不可及。

Fridrich 的研究重点是在照片和短信等人造数字媒体中隐藏信息的复杂现实世界的复杂性，他说完美的模拟是一个永远无法满足的条件。 “数字媒体的问题在于你永远不会拥有那个真实的模型，”她说。 “太复杂了。隐写术永远不可能完美。”

追求完美

但是机器生成的文本当然不是人类创造的。最近兴起的专注于语言的生成模型，或其他生成图像或声音的模型，表明在现实世界中完全安全的隐写术是可能的。毕竟，这些模型使用定义明确的采样机制作为生成文本的一部分，在许多情况下，这些机制看起来令人信服。

Sokota 和 Schroeder de Witt 之前的工作不是隐写术，而是机器学习。他们一直在寻找通过各种渠道传输信息的新方法，有一次他们了解到信息论中一个相对较新的概念，称为最小熵耦合。

“这种看似基本的工具还没有得到很好的探索，”Sokota 说。在最小熵耦合中，研究人员可以将两个概率分布组合成一个代表两个系统的联合分布。在隐写术的情况下，其中一个分布代表封面文本，另一个代表包含隐藏消息的密文。联合分发可以确保两个文本在统计上无法区分，从而生成完全安全的消息。

Sokota、Schroeder de Witt 和他们的团队一直在努力寻找利用该工具开发深度学习新方法的方法。但有一天，Sokota 回忆说，他们的合作者 Martin Strohmeier 提到他们在最小熵耦合方面的工作让他想起了隐写术的安全问题。

Strohmeier 只是随便发表评论，但 Sokota 和 Schroeder de Witt 却当真了。该小组很快想出了如何使用最小熵耦合来设计隐写程序，以满足 Cachin 在真实世界机器学习系统环境中对完美安全性的要求。

“我很惊讶地看到它在隐写术中有如此出色的应用，”普渡大学的电气和计算机工程师Murat Kocaoglu说。他不使用隐写术，但他确实帮助设计了该团队在论文中使用的一种算法。 “这项工作确实很好地回到了最小熵耦合。”

然后该团队更进一步，表明要使隐写术方案的计算效率尽可能高，它必须基于最小熵耦合。新战略为如何同时实现安全性和效率制定了明确的方向——并建议两者齐头并进。

“我们的结果似乎表明，这比不完全安全的方法更有效，”Sokota 说。

现实世界

有局限性。 Cachin 指出，找到真正的最小熵耦合是一个 NP-hard 问题，这基本上意味着完美的解决方案在计算上过于昂贵而不实用，回到效率问题。

Sokota 和 Schroeder de Witt 承认这个问题：最佳耦合确实太复杂而无法计算。但为了绕过这个瓶颈，作者使用了 Sokota 和 Schroeder de Witt 开发的近似程序（基于 Kocaoglu 引入的方法），该程序仍然保证安全性和合理的效率。

以下是他们如何看待它在实践中的作用：假设持不同政见者或人权活动家想要从封锁国家发送短信。 Schroeder de Witt 说，WhatsApp 或 Signal 等应用程序的插件将完成繁重的算法提升。第一步是选择一个覆盖文本分布——即消息中可能使用的大量单词的集合，就像来自 ChatGPT 或类似的大型语言模型一样——这将隐藏密文。然后，该程序将使用该语言模型来近似覆盖文本和密文之间的最小熵耦合，并且该耦合将生成将通过文本发送的字符串。对于外部对手来说，新文本与无辜的机器生成的消息无法区分。它也不一定是文本：例如，该算法可以通过对机器生成的艺术（而不是 ChatGPT）或 AI 生成的语音邮件音频进行采样来工作。

新算法在秘密消息的大小方面受到限制：Schroeder de Witt 估计，使用当今的技术，他们的系统可以在大约 30 秒的机器生成的语音邮件中隐藏大约 225 KB 的图像（或其他消息）。但它并不需要是巨大的才能成功。这足以让重要信息通过审查员或当局。

弗里德里希说，她更习惯于克服现实世界的局限性，而不是考虑理论。 “看到另一面很有趣，”她说。对她来说，新工作开始弥合理论证明与混乱的现实世界之间的差距。如果人们不使用机器生成的内容，那么新方案将无法保证安全。但她说，随着它变得越来越普遍，实现完美安全的可能性会越来越大。

“一切都取决于什么是典型的，”她说。如果一台机器生成一些看起来很自然的无害图像，并且人们习惯了这些图像，那么创建一个富含秘密信息的图像源就很容易了。 “对于生成模型，这种方法为两种方法相遇提供了可能的途径，”她说。

显然，它也是一把双刃剑。 “犯罪分子会利用它，”弗里德里希说，“但它也可以用来做好事。”