Гонка вооружений: генераторы становятся умнее, а детекторы — слепнут
Каждый раз, когда очередной Sora, Stable Diffusion 4 или Midjourney V7 выдают на-гора фотореалистичное видео, исследователи безопасности хватаются за голову. Дипфейки перестали быть забавными мемами с подменой лица — теперь это инструмент для шантажа, дезинформации и финансового мошенничества. По данным отчёта Sensity AI за апрель 2026 года, количество дипфейк-контента в сети выросло на 420% за последние 12 месяцев. И самое страшное: существующие детекторы (типа старого доброго ResNet-50 с подмешиванием шума) сбоят при встрече с новыми архитектурами генерации. Потому что их учили на устаревших примерах.
Проблема классических датасетов (FaceForensics++, DFDC): они заточены под конкретные генераторы, их объём ограничен, а «грязные» данные (сжатие, повторная загрузка в соцсети) почти не встречаются. Модель, обученная на идеальных кадрах, проваливается на реальном TikTok-видео.
И вот в мае 2026 года на сцену выходит коалиция в составе Microsoft Research, Intel Labs, MIT и Оксфорда. Они публикуют в журнале IEEE Intelligent Systems статью с описанием датасета MNW — Multi-Modal Network-Wide benchmark. И это, чёрт возьми, самый большой и разнообразный набор данных по дипфейкам, который когда-либо видел свет.
Что такого особенного в MNW? (Спойлер: не только размер)
Датасет включает 24 миллиона образцов: видео, аудио, изображения и даже 3D-меши. Генерация — на движках 2024–2026 годов: от Stable Diffusion 3.5 Turbo до новейшего Sora 2 и Voice Engine от OpenAI. Но главное — партнёры добавили реалистичные артефакты сжатия: пережатие в H.265, повторный репост через мессенджеры, наложение фильтров и даже Insertion-like атаки, когда дипфейк монтируют в реальное видео.
| Характеристика | MNW | FaceForensics++ |
|---|---|---|
| Количество образцов | 24 млн | 1.8 млн |
| Типы модальностей | 5 (видео, аудио, фото, 3D, текст) | 1 (видео) |
| Генераторы | >50 (включая коммерческие закрытые) | 3 (FaceSwap, Face2Face и т.д.) |
| Условия сжатия | Да, 10 уровней | Только CIF слабое |
Но фишка даже не в объёме. Создатели MNW реализовали циклическое обновление: раз в квартал они добавляют новые образцы, сгенерированные самыми свежими моделями. Другими словами, детектор, обученный на MNW, не устареет через полгода — если разработчик подписан на обновления. Это больше похоже на живой организм, чем на статичный дамп.
Почему это не очередной «бумажный тигр»?
Microsoft уже не раз пыталась решить проблему верификации контента. Пару месяцев назад они представили план с цифровыми подписями, но эксперты усомнились в его реализуемости — об этом я подробно писал в статье «Microsoft рисует карту сокровищ, но не показывает, где зарыт клад». Подход с датасетом — более приземлённый и, что важнее, рабочий прямо сейчас.
В статье IEEE авторы приводят результаты: лучший детектор на базе EfficientNetV3, обученный на MNW, достигает 99.1% точности на тестовой выборке, которая включает генераторы, не виденные во время обучения. Для сравнения, тот же детектор, обученный на DFDC, показывает 88.2%. Разница в 11 процентных пунктов — это тысячи нераспознанных дипфейков на каждые сто тысяч видео.
Впрочем, есть нюанс. MNW — это всё равно синтетика. Полностью доверять ему нельзя: модель может выучить артефакты конкретных конвейеров генерации, а не «сущность» дипфейка. Но пока это лучшее, что у нас есть.
Не только Microsoft: кто ещё в игре?
Параллельно с гигантами мелкие команды тоже не дремлют. Недавно Moonworks выкатила набор эстетических датасетов для генерации — они, конечно, не про детекцию, но тренд на открытость данных радует (читали «Moonworks выкатывает эстетический пак»?). А в сфере защиты от атак на AI-агенты появляются совсем другие инструменты — например, детекция аномалий поведения вместо анализа контента (об этом в материале «Behavior is the New Credential»).
Но все эти методы — лишь часть большой картины. Дипфейки атакуют не только глаза и уши; они встраиваются в диалоги с AI-агентами через prompt injection (см. нашу статью «Как защитить AI-агентов от prompt injection»). Поэтому MNW — это хорошо, но комплексная безопасность требует ещё и поведенческого анализа, и защиты каналов.
Что дальше? (Или почему через год мы снова будем переписывать детекторы)
Лично меня гложет мысль: генеративные модели развиваются экспоненциально. Sora 2 уже умеет имитировать дрожание камеры, блики на стеклах и даже микроэкспрессии. Через 12 месяцев появятся модели, которые будут генерировать дипфейки, неотличимые от реальности даже для человека. MNW — это не серебряная пуля, а точка опоры. Разработчики систем детекции должны использовать его как базу, но обязательно дообучать на своих данных.
Совет неочевидный: если вы создаёте антифрод-систему для финансового сектора, не полагайтесь только на MNW. Соберите дополнительно 10–20 тысяч примеров, специфичных для вашего домена (например, видео с паспортами или селфи с номером заказа). И используйте состязательное обучение — пусть ваш детектор тренируется одновременно с генератором дипфейков. Именно такой подход описан в статье про нейро-символический детектор дрейфа FIDI Z-Score (мы о нём тоже писали: «Нейро-символический детектор дрейфа»).
Датасет MNW уже доступен для скачивания на GitHub под лицензией CC-BY-NC 4.0. Если вы разрабатываете детектор, пропустить его нельзя. Но помните: война с дипфейками — это не спринт, а марафон с постоянно меняющейся трассой.
