2010年6月27日，联邦调查局以间谍名义逮捕了10名在纽约市附近以美国专业人士身份生活和工作的俄罗斯间谍。此案揭露了一个由虚假身份和秘密会议组成的错综复杂的系统，揭露了自冷战结束以来美国最大的间谍网络之一，并启发了电视剧《美国人》。

它还引起了人们对隐写术的关注，隐写术是一种将秘密信息隐藏在另一条信息中的方法。纽约间谍将他们的秘密隐藏在众目睽睽之下，将通信编码在公开网站上发布的看似无害图像的像素内。要阅读它们，收件人必须下载一张图片，将其翻译成二进制代码的1和0，然后知道哪些更改后的数字按顺序排列会拼出秘密。

隐写术既是一门艺术，也是一门科学，不同于更为人熟知的秘密通信方法，即密码学。密码术有意隐藏消息的内容，将其转化为一团乱麻的文本或数字，而隐写术则隐藏了秘密存在的事实。伯尔尼大学的计算机科学家和密码学家Christian Cachin说：“隐写术隐藏了消息的存在。如果对手可以检测到隐藏的消息，那么发送者就输了。”

与任何秘密通信方法一样，挑战在于如何使其完全安全，这意味着人类和机器检测器都不会怀疑隐藏秘密的消息。对于隐写术，这一直是理论上的可能性，但被认为不可能通过实际的人类通信实现。

ChatGPT等大型语言模型的出现表明了一条不同的前进道路。虽然可能无法保证人类创建的文本的安全性，但一项新的证据首次阐明了如何在机器生成的消息中实现隐写术的完美安全性，无论是文本、图像、视频还是任何其他媒体。作者还包括一套生成安全消息的算法，他们正在研究将其与流行应用程序相结合的方法。

卡内基梅隆大学的计算机科学家Samuel Sokota开发了新的算法，他说：“随着我们越来越成为一个与人工智能模型交互非常普遍的社会，在人们一直使用的媒体中编码秘密信息的机会越来越多”。

这一结果来自信息理论的世界，它为理解各种交流提供了一个数学框架。这是一个抽象而整洁的领域，与实用隐写术的复杂混乱形成鲜明对比。宾厄姆顿大学研究在数字媒体中隐藏和检测数据的方法的研究员Jessica Fridrich说，世界并不经常重叠。但新算法通过满足长期以来的安全理论标准，并提出在机器生成的内容中隐藏消息的实际应用，将它们结合在一起。新算法可以被像纽约俄罗斯人这样的间谍利用，但它们也可以帮助人们试图在禁止加密渠道的国家获取信息。

古老的秘密传递策略

隐写术在希腊语中是“隐写”的意思，比数字媒体早了几千年。

已知最早的例子出现在希罗多德撰写于公元前5世纪的《历史》中。在一个故事中，一条信息被写在木板上，并被一层蜡隐藏起来，以避免在旅途中被拦截。在另一篇由统计学家埃涅阿斯撰写的文章中，一条信息在某些字母上隐藏了看不见的墨水点，这些墨水点拼写出了真正的信息。在一个更极端的例子中，暴虐的领导人Histiaeus想在没有被发现的情况下向他的侄子传达一个策略，所以他剃掉了一个奴隶的头，在这个人的头上纹上了他的信息，并等待头发长回来后再发送信息。到达后，侄子剃掉信使的头，露出了计划。

这些策略一直存在，技术也允许新的策略出现。第一次世界大战期间的德国间谍找到了通过微点传输信息的方法：他们复制并缩小一份文件，直到它像一个“i”的点一样小，看起来无辜，但可以通过放大来揭示。

政客们也转向了欺骗性的手段。20世纪80年代，在一系列新闻泄露之后，据称英国首相玛格丽特·撒切尔对大臣们的文字处理器进行了重新编程，使每个大臣都有自己的、几乎无法检测但独特的单词间距模式。这一微小的修改使得泄露的文件能够被追踪到源头。

这种方法在21世纪继续蓬勃发展，无论好坏。现代隐写术策略包括用隐形墨水书写信息，俄罗斯间谍在纽约使用的另一种策略，在绘画细节中隐藏艺术家签名，以及设计带有隐藏或反向轨道的音频文件。弗里德里希说，数字媒体中的隐写术方法还可以帮助隐藏语音邮件文件中的图像，或者像俄罗斯间谍一样，将书面文本放入篡改过的照片中。

形式化保密

Cachin说，直到20世纪80年代，数学家和计算机科学家才开始为隐写术寻找正式的数学规则。他们转向了信息理论，这一领域始于克劳德·香农1948年的开创性论文《沟通的数学理论》，该论文建立了一种分析方法来思考通过渠道发送和接收信息。香农对电报线路进行了建模，但他为今天的数字技术奠定了基础。他使用“熵”一词来量化变量中的信息量，例如对字母或消息进行编码所需的比特数。1949年，他制定了完全安全的密码规则。但Shannon没有提到隐写术中的安全问题。

大约50年后，Cachin做到了。本着香农的精神，他的方法是以概率的方式思考语言。考虑两名特工，爱丽丝和鲍勃，他们想通过隐写术传递信息，并对他们的对手伊芙保密。当爱丽丝向鲍勃发送一条无害的信息时，她会从整个英语词典中选择单词。这些单词具有与它们相关的概率；例如，“the”这个词比“dictionary”更容易被选择。总之，这些词可以表示为概率分布。如果Alice使用隐写术向Bob发送编码消息，则该消息将具有自己的概率分布。

信息理论家使用一种称为相对熵的度量来比较概率分布。这就像测量一种抽象的距离：牛津大学的计算机科学家Christian Schroeder de Witt参与了这篇新论文的研究，他说，如果两种分布之间的相对熵为零，“你就不能依靠统计分析”来揭开秘密。换句话说，如果未来的间谍开发出一种完全安全的算法来走私秘密，那么任何基于统计的监视都无法检测到。他们的传输将被完全隐藏。

但Cachin的证据取决于一个关键的假设，即隐藏秘密的信息，即封面文本。Cachin说，为了产生一个与原始的、无害的信息无法区分的新信息，你必须创建一个完美的封面文本分布模拟。例如，在书面信息中，这意味着使用一些可以完美模拟一个人语言的工具。但人工生成的文本太混乱了。有可能接近——ChatGPT和其他大型语言模型可以产生令人信服的模拟——但它们并不准确。“对于人工生成的文本来说，这是不可行的，”Cachin说。出于这个原因，长期以来，完全安全的隐写术似乎遥不可及。

Fridrich的研究重点是在照片和短信等人造数字媒体中隐藏信息的复杂现实世界复杂性，他说，完美的模拟是一个永远无法满足的条件。数字媒体的问题是，你永远不会有那种真正的模式，这太复杂了，隐写术永远不可能完美。

追求完美

但是机器生成的文本当然不是人类创造的。最近兴起的专注于语言的生成模型，或其他生成图像或声音的模型，表明在现实世界中完全安全的隐写术是可能的。毕竟，这些模型使用定义明确的采样机制作为生成文本的一部分，在许多情况下，这些机制看起来令人信服。

Sokota和Schroeder de Witt之前的工作不是隐写术，而是机器学习。他们一直在寻找通过各种渠道传输信息的新方法，有一次他们了解到信息论中一个相对较新的概念，称为最小熵耦合。

Sokota说：“这是一种看似基本的工具，但尚未得到很好的探索”。在最小熵耦合中，研究人员可以将两个概率分布组合成一个单一的联合分布，代表两个系统。在隐写术的情况下，其中一个分布表示覆盖文本，另一个表示包含隐藏消息的密文。联合分发可以确保这两个文本在统计上无法区分，从而生成一个完全安全的消息。

Sokota、Schroeder de Witt和他们的团队一直在努力寻找利用该工具开发深度学习新方法的方法。但有一天，Sokota回忆说，他们的合作者Martin Strohmeier提到他们在最小熵耦合方面的工作让他想起了隐写术的安全问题。

Strohmeier只是随便发表评论，但Sokota和Schroeder de Witt却当真了。该小组很快想出了如何使用最小熵耦合来设计隐写程序，以满足Cachin在真实世界机器学习系统环境中对完美安全性的要求。

普渡大学的电气和计算机工程师Murat Kocaoglu说：“我很惊讶地看到它在隐写术中有如此好的应用”。他不研究隐写术，但他确实帮助设计了团队在论文中使用的一种算法。“这项工作确实很好地与最小熵耦合联系在一起。”

然后该团队更进一步，表明要使隐写术方案的计算效率尽可能高，它必须基于最小熵耦合。新战略为如何同时实现安全性和效率制定了明确的方向——并建议两者齐头并进。

Sokota说：“我们的结果似乎表明，这比不完全安全的方法更有效”。

现实世界

这是有局限性的。Cachin指出，寻找真正的最小熵耦合是一个NP-hard问题，这基本上意味着完美的解决方案在计算上过于昂贵，无法实现，回到效率问题上来。

Sokota和Schroeder de Witt承认这个问题：最佳耦合确实太复杂而无法计算。但为了绕过这个瓶颈，作者使用了Sokota和 Schroeder de Witt开发的近似程序，基于 Kocaoglu 引入的方法，该程序仍然保证安全性和合理的效率。

以下是他们如何看待它在实践中的作用：比方说，一个持不同政见者或人权活动家想在一个被封锁的国家发短信。Schroeder de Witt表示，WhatsApp或Signal等应用程序的插件将完成繁重的算法任务。第一步是选择一个隐藏密文的封面文本分发，也就是说，一个巨大的可能单词集合，可以在消息中使用，就像来自ChatGPT或类似的大型语言模型一样。然后，该程序将使用该语言模型来近似封面文本和密文之间的最小熵耦合，并且该耦合将生成将通过文本发送的字符串。对于外部对手来说，新的文本将与无辜的机器生成的消息无法区分。它也不一定是文本：例如，该算法可以通过对机器生成的手段（而不是ChatGPT）或人工智能生成的语音邮件音频进行采样来工作。

新算法在秘密消息的大小方面受到限制：Schroeder de Witt估计，使用当今的技术，他们的系统可以在大约30秒的机器生成的语音邮件中隐藏大约225KB的图像或其他消息。但要想取得成功并不需要太大。这足以让一条实质性的信息通过审查机构或当局。

Fridrich说，她更习惯于克服现实世界的局限性，而不是考虑理论。对她来说，新工作开始弥合理论证明与混乱的现实世界之间的差距。如果人们不使用机器生成的内容，那么新方案将无法保证安全。但她说，随着它变得越来越普遍，实现完美安全的可能性会越来越大。

Fridrich说“一切都取决于什么是典型的。如果一台机器生成了一些看起来很自然的无害图像，并且人们已经习惯了这些图像，那么就很容易创建出一个富含秘密信息的图像来源。通过生成模型，这种方法为这两种方法的相遇提供了可能的途径”。

显然，它也是一把双刃剑。Fridrich说：“犯罪分子会利用它，但同样它也可以用来做好事。”

这篇研究文章于5月18日发布在《QUANTA》杂志上。