Microsoft: Autenticação de Mídia por IA é Falha, Mas Leis Ignoram Falhas
Pesquisa da gigante da tecnologia revela que métodos atuais para identificar conteúdo gerado por IA não são confiáveis, contrastando com regulamentações emergentes.
A proliferação de desinformação impulsionada por inteligência artificial (IA) na internet atingiu níveis alarmantes. Imagens manipuladas e vídeos falsos estão sendo empregados para desencorajar ações específicas e influenciar a opinião pública. Diante desse cenário, a Microsoft publicou um relatório técnico detalhado, intitulado “Media Integrity and Authentication: Status, Directions, and Futures”, que avalia de forma sistemática a capacidade de distinguir mídias autênticas de conteúdos sintéticos, destacando as limitações dos métodos atuais. O estudo, parte do programa LASER da Microsoft focado na segurança de longo prazo da IA, foi liderado pelo Cientista Chefe Eric Horvitz e envolveu uma equipe multidisciplinar.
As Três Abordagens e Suas Fragilidades Intrínsecas
O relatório examina três tecnologias principais: metadados de proveniência protegidos criptograficamente, marcas d’água invisíveis e impressões digitais baseadas em técnicas de soft-hash. Cada uma dessas abordagens visa combater a manipulação de mídia a partir de um ângulo distinto. Os metadados de proveniência, alinhados ao padrão aberto C2PA, anexam informações criptograficamente assinadas a um arquivo. Esses dados registram o criador, as ferramentas utilizadas e as edições realizadas, de modo que qualquer alteração posterior invalide a assinatura, tornando a falsificação detectável. As marcas d’água invisíveis, por sua vez, incorporam informações diretamente no conteúdo da mídia de forma imperceptível ao ser humano, projetadas para sobreviver a processos como o upload em redes sociais. Já as impressões digitais calculam um código matemático a partir do conteúdo, que é armazenado em um banco de dados para posterior comparação com originais conhecidos.
No entanto, o relatório da Microsoft é incisivo ao apontar as sérias limitações de cada método isoladamente. Os metadados de proveniência podem ser facilmente removidos, por exemplo, através de um simples print de tela. As marcas d’água operam com base em probabilidades, não garantindo 100% de confiabilidade, podendo gerar falsos alarmes ou falhar em detectar alterações. As impressões digitais enfrentam o problema das colisões de hash, onde arquivos diferentes podem gerar o mesmo código, além de demandarem altos custos de armazenamento. Um ponto crucial destacado é que, mesmo com metadados verificados, não se pode atestar a veracidade do conteúdo em si, apenas que ele não foi alterado desde a sua assinatura original.
A Busca por Confiabilidade em Combinações e os Ataques de Reversão
A equipe de pesquisa da Microsoft modelou 60 combinações diferentes dos três métodos e as testou em cenários realistas de ataque. Os resultados são preocupantes: apenas 20 dessas combinações alcançaram o que o relatório define como “autenticação de alta confiança”. Para atingir esse nível, é necessário um manifesto C2PA validado, com checksums que correspondam ao conteúdo real, ou uma marca d’água detectada que aponte para esse manifesto em armazenamento externo. As 40 combinações restantes apresentaram níveis de confiança mais baixos ou nenhuma conclusão confiável. Por isso, a Microsoft recomenda que ferramentas de verificação pública exibam apenas resultados de alta confiança, reservando sinais menos precisos para uso exclusivo de especialistas forenses.
O relatório também detalha os chamados “ataques de reversão”, manipulações que invertem os sinais de autenticidade. Um cenário descrito envolve um invasor que edita minimamente uma foto autêntica com IA. A imagem pode ser corretamente assinada como “modificada por IA”, mas uma plataforma com lógica de exibição falha pode rotulá-la simplesmente como “gerada por IA”, sem detalhar a extensão da alteração, desqualificando assim uma foto legítima. Em outro exemplo, um atacante gera uma imagem por IA, remove a marca d’água e o manifesto, e insere um manifesto forjado de câmera. Sem listas confiáveis de remetentes, uma ferramenta de verificação pode erroneamente sinalizar conteúdo sintético como autêntico. A recomendação da Microsoft é que as plataformas exibam sempre o escopo das edições e apresentem pré-visualizações do conteúdo original, além de fornecerem detalhes completos do manifesto às redes de distribuição.
Dispositivos Locais e a Vulnerabilidade na Cadeia de Autenticação
Resultados verdadeiramente confiáveis só são possíveis quando a criação e a assinatura do conteúdo ocorrem em um ambiente seguro na nuvem, conforme enfatiza o relatório. Dispositivos locais, especialmente computadores convencionais, não oferecem proteção suficiente, pois administradores podem modificar programas e abusar de chaves criptográficas. Smartphones com Android e iOS apresentam uma resistência ligeiramente maior, pois conseguem distinguir sistemas operacionais adulterados dos originais. No caso das câmeras, a situação é variada, com modelos mais novos já implementando o padrão C2PA, enquanto câmeras compactas básicas carecem de chips seguros. A Microsoft recomenda o uso de enclaves de segurança de hardware e a adoção da especificação C2PA versão 2.3 ou superior.
Detectores de IA, embora úteis, enfrentam um paradoxo fundamental. Quanto melhor o desempenho de um detector, maior a confiança depositada em seus resultados. Contudo, os erros cometidos, especialmente a não detecção de falsificações, podem causar sérios danos justamente por serem altamente confiáveis. Além disso, os detectores estão em uma corrida armamentista constante contra os atacantes, com pesquisas demonstrando que ataques sofisticados podem reduzir sua precisão para níveis inferiores a 30%. Eric Horvitz, em conversa com uma conhecida publicação de tecnologia, enfatizou a necessidade de deixar claro para os legisladores que o objetivo não é julgar o que é verdadeiro ou falso, mas desenvolver rótulos que indiquem a origem de determinado conteúdo.
Leis Exigem o Que a Tecnologia Ainda Não Entrega
O relatório analisa a legislação de diversos países, como a Lei de Transparência em IA da Califórnia e o EU AI Act. Essas regulamentações exigem divulgações visíveis e ocultas em conteúdos gerados por IA, ou o rótulo de “gerado por IA” de forma legível por máquina, sob pena de multas significativas. A Microsoft alerta que alguns desses requisitos são tecnicamente impossíveis de serem atendidos com a tecnologia atual. Marcas d’água visíveis podem ser facilmente removidas, e as invisíveis, mesmo com as melhores práticas, podem ser eliminadas por atacantes habilidosos. Pesquisas recentes demonstram que edições de imagens baseadas em modelos generativos podem comprometer até mesmo marcas d’água robustas. O lançamento precipitado de sistemas pouco confiáveis poderia minar a confiança pública em métodos de autenticação.
A Microsoft defende que as expectativas políticas devem ser elevadas gradualmente, acompanhando os avanços na pesquisa e no desenvolvimento de métodos técnicos amplamente aplicáveis. A empresa busca moldar as regras, mas não se compromete a cumprir todas as exigências. Horvitz descreveu o trabalho como uma recomendação para autorregulação, ressaltando o esforço da empresa em se consolidar como um provedor confiável. Embora não haja um compromisso vinculativo de implementação imediata em suas plataformas, especialistas apontam que a adoção ampla desse framework pela Microsoft poderia dificultar significativamente a disseminação de conteúdos manipulados.
Deixe um comentário