ai

[Paper] Deepfake 检测器是 DUMB:一个用于评估在可转移性约束下 adversarial training 鲁棒性的基准

发布: (2026年1月10日 GMT+8 02:06)
7 min read
原文: arXiv

Source: arXiv - 2601.05986v1

Overview

深度伪造检测模型正日益被部署在需要验证视频内容真实性的平台上。本文表明,即使这些检测器经过对抗训练强化,仍然可能被细微且可迁移的扰动所欺骗——尤其是在攻击者的数据或模型与防御者不同的情况下。通过将 DUMB 基准框架扩展到深度伪造检测,作者提供了一个真实的压力测试,模拟了对手在实际环境中的攻击方式。

关键贡献

  • DUMB‑er Benchmark for Deepfakes – 将 Dataset‑Sources‑Model‑Balance (DUMB) 方法学适配用于在可转移性约束(即攻击者和防御者使用不同的数据或架构)下评估鲁棒性。
  • Comprehensive Empirical Study – 在两个广泛使用的数据集(FaceForensics++ 和 Celeb‑DF‑V2)上,对五种最先进的检测器(RECCE、SRM、XCeption、UCF、SPSL)进行测试,针对三种流行的攻击(PGD、FGSM、FPBA)。
  • Cross‑Dataset Insight – 揭示对抗训练能够提升分布内鲁棒性,但在测试数据来自不同分布时可能降低性能。
  • Case‑Aware Defense Recommendations – 提出防御策略必须针对预期的不匹配情形(例如,同源攻击 vs. 跨源攻击)进行调优。
  • Open‑Source Evaluation Suite – 发布代码和基准脚本,供社区复现和扩展分析。

方法论

基准构建 (DUMB‑er)

  • 数据集来源:两个深度伪造语料库(FaceForensics++ 和 Celeb‑DF‑V2)分别作为域和目标域。
  • 模型架构:五种检测器,涵盖手工特征(SRM)、深度卷积神经网络(XCeption)以及混合方法(RECCE、UCF、SPSL)。
  • 平衡:每个检测器在真实和伪造视频的平衡混合上进行训练,然后可选地使用对抗样本进行微调。

对抗攻击场景

  • 白盒:攻击者了解确切的模型和训练数据(基线)。
  • 可转移性受限:攻击者在不同的数据集或架构上训练替代模型,然后生成扰动(PGD、FGSM、FPBA),并将其应用于目标检测器。

评估协议

  • 分布内:测试和攻击均使用检测器训练时相同的数据集。
  • 跨数据集:测试集来自另一个数据集,模拟真实世界的分布转移。
  • 指标:检测准确率、AUC,以及鲁棒性下降(干净样本与对抗样本性能的差异)。

结果与发现

场景清洁准确率对抗准确率 (PGD)对抗训练的效果
分布内(相同来源)~92 %~45 %↑至约78 %(鲁棒性提升)
跨数据集(不同来源)~85 %~38 %↓至约70 %(鲁棒性下降)
  • 对抗训练有帮助,当攻击者的代理模型与防御者的数据分布匹配时(例如,两者都使用 FaceForensics++)。
  • 当数据不匹配时,一些防御方法会对源域的对抗模式过拟合,导致负迁移,从而损害目标域的检测效果。
  • 攻击的可迁移性不同:FPBA(特征保持)在跨数据集情况下最为成功,而 FGSM 的影响在跨数据集条件下急剧下降。
  • 检测器的特定趋势:手工特征模型(SRM)对迁移攻击更具韧性,胜过纯 CNN,但在强烈的 PGD 扰动下仍会受到影响。

实际意义

  • 部署必须预估分布漂移 – 从多样来源摄取用户生成视频的平台不应仅依赖单一对抗训练方案。
  • 混合防御有前景 – 将手工特征(例如 SRM)与学习特征相结合,可在不牺牲干净数据性能的前提下缓解迁移攻击。
  • 持续微调 – 定期在新收集的、可能已被对抗扰动的目标平台数据上重新训练,可保持鲁棒性。
  • 安全性设计 – 开发者应集成一个 鲁棒性监控 流水线,标记检测置信度的突降,以指示潜在的对抗攻击活动。
  • 工具链 – 已发布的基准可嵌入 CI 流水线,在生产部署前评估新检测器版本对真实对抗场景的表现。

限制与未来工作

  • 数据集范围 – 仅检查了两个深度伪造语料库;更高视觉保真度的新兴数据集可能表现出不同的迁移动态。
  • 攻击多样性 – 本研究聚焦于基于梯度的攻击;未来工作应探索生成式对抗攻击,以合成更自然的扰动。
  • 真实世界约束 – 假设扰动在像素层面上是不可察觉的;实际上,压缩、流媒体以及设备特定的处理可能会改变攻击效果。
  • 防御策略 – 论文评估了标准的对抗训练;探索认证防御、集成方法或元学习可能产生更普适的鲁棒检测器。

Bottom line: 对抗训练并非深度伪造检测的灵丹妙药。其效益取决于训练环境与部署环境的匹配程度,因而督促从业者采用自适应、数据感知的防御流水线。

作者

  • Adrian Serrano
  • Erwan Umlil
  • Ronan Thomas

论文信息

  • arXiv ID: 2601.05986v1
  • 分类: cs.CV, cs.CR
  • 发布日期: 2026年1月9日
  • PDF: 下载 PDF
Back to Blog

相关文章

阅读更多 »