Resumo Executivo

Carlos Alberto Martins Junior; Ricardo Janes

Resumo elaborado pela ferramenta ResumeAI, solução de inteligência artificial desenvolvida pelo Instituto Pecege voltada à síntese e redação.

O objetivo deste estudo foi implementar e avaliar um sistema de aprendizado de máquina para a detecção de imagens fraudulentas geradas por autoencoders, simulando ataques visuais adversários (“deep fakes”) que visam enganar modelos de classificação. A investigação ocorreu em três etapas: 1) treinamento de um classificador de imagens baseado em redes neurais convolucionais (CNNs) para distinção binária; 2) desenvolvimento de um autoencoder para criar imagens sintéticas manipuladas; 3) implementação e avaliação de um detector, também baseado em CNNs, para identificar as imagens adulteradas. Esta abordagem quantificou a vulnerabilidade de um classificador a ataques de manipulação visual e demonstrou a viabilidade de uma defesa robusta com aprendizado profundo para identificar artefatos gerados artificialmente.

O avanço das técnicas de aprendizado de máquina, especialmente as redes neurais profundas, impactou diversos setores. No processamento de imagens, as redes neurais convolucionais (CNNs) se tornaram a tecnologia dominante para tarefas como classificação e detecção de objetos. Isso levou à adoção de IA em domínios como diagnósticos médicos; algoritmos analisam imagens radiológicas (Litjens et al., 2017), e sistemas de transporte que otimizam o tráfego (Fredianelli et al., 2022). No setor financeiro, o reconhecimento facial é usado para autenticação segura em aplicações bancárias, exemplificando a automação e proteção de processos.

Essa mesma tecnologia, no entanto, possibilita usos maliciosos. A proliferação de “deep fakes”, baseados em modelos generativos como autoencoders e Redes Adversárias Generativas (GANs), permite a criação de conteúdo sintético realista. Criminosos usam essa capacidade para fraudes, como a falsificação de identidades em sistemas de verificação biométrica para acessar contas bancárias (Governo de Goiás, 2023). A manipulação de vídeos para desinformação torna urgente o desenvolvimento de contramedidas, tornando a detecção de fraudes uma área de pesquisa vital para a confiança nos sistemas digitais.

Este trabalho investiga a dinâmica de ataque e defesa em um ambiente controlado. A escolha de não utilizar imagens faciais humanas foi deliberada para evitar complexidades éticas e legais e o alto custo computacional. Em vez disso, foi usado o conjunto de dados Asirra (Elson et al., 2007), uma base de imagens de cães e gatos. Este dataset oferece um cenário de classificação binária ideal para simular um ataque adversário, permitindo uma análise do impacto das manipulações e da eficácia do detector. A variabilidade nas imagens do Asirra (iluminação, pose, fundo) contribui para a robustez e generalização dos modelos.

A pesquisa emulou um ciclo de ataque e defesa. A primeira fase desenvolveu um classificador base para distinguir cães de gatos, estabelecendo um desempenho de referência. A segunda fase criou o agente de ataque: um autoencoder treinado para gerar imagens manipuladas que induzissem o classificador ao erro, simulando a intenção de um fraudador. A terceira fase construiu a defesa: um detector treinado para diferenciar imagens originais das fraudulentas. A avaliação deste detector mediu a eficácia das CNNs na identificação de padrões artificiais.

O conjunto de dados Asirra (Elson et al., 2007) serviu como base para os experimentos. O repositório contém 23.410 imagens de cães e gatos, com heterogeneidade em resolução, enquadramento e iluminação, representando um desafio realista. Para consistência, um pipeline de pré-processamento foi implementado: todas as imagens foram redimensionadas para 224×224 pixels, convertidas para RGB e os valores dos pixels foram normalizados para o intervalo [-1, 1], procedimento que acelera a convergência (Goodfellow et al., 2016). O conjunto foi dividido em treinamento (70%), validação (20%) e teste (10%) para permitir ajuste de hiperparâmetros e avaliação imparcial da generalização.

Para o classificador inicial, foi projetada uma CNN customizada. A arquitetura continha um extrator de características sequencial e um classificador totalmente conectado. O extrator iniciava com uma camada convolucional (6 filtros 5×5), ativação ReLU e max pooling (2×2). Uma segunda camada convolucional (16 filtros 5×5) aprofundava a extração. A saída era achatada e processada por três camadas densas (120, 84 e 1 neurônio). A camada final produzia um logit para classificação binária. A função de perda foi a “Binary Cross Entropy with Logits”. O treinamento durou 20 épocas com otimizador Adam, taxa de aprendizado de 0,001, regularização L2 (weight decay) de 0,0001 e batches de 32. Para robustez, aplicou-se data augmentation ao conjunto de treinamento (ruído gaussiano, rotações de ±15 graus, espelhamento horizontal), expandindo artificialmente os dados em dez vezes.

A geração de imagens fraudulentas foi feita por um autoencoder convolucional com arquitetura U-Net (Ronneberger et al., 2015), notável por suas “skip connections” que preservam detalhes finos. O encoder era composto por três blocos convolucionais (duas camadas de convolução 3×3, Batch Normalization, Leaky ReLU) seguidos por max pooling, com filtros aumentando progressivamente (8, 16, 32). O espaço latente tinha uma camada convolucional com 64 filtros. O decoder espelhava o encoder, usando convoluções transpostas para upsampling e concatenando mapas de características via skip connections. A camada de saída usava 3 filtros e ativação Tanh para mapear os pixels para [-1, 1]. O modelo foi treinado para minimizar o erro médio quadrático (MSE) com otimizador Adam (taxa de aprendizado de 0,00025, regularização L2 de 0,005). A imagem fraudulenta era criada pela interpolação linear (controlada por um parâmetro α) entre vetores latentes e mapas de ativação de duas imagens (cão e gato), seguida pela decodificação do resultado.

O detector de fraudes, projetado para classificar imagens como “real” ou “fraudulenta”, teve arquitetura idêntica à do classificador inicial para permitir uma comparação direta. O conjunto de dados para este modelo foi construído com as imagens originais do Asirra (classe “real”) e as imagens geradas pelo autoencoder (classe “fraudulenta”). Foram geradas 16.500 imagens fraudulentas para treinamento, 4.650 para validação e 2.400 para teste, usando valores de α amostrados aleatoriamente para expor o detector a diferentes níveis de manipulação. O pré-processamento foi o mesmo dos modelos anteriores. Diferentemente do primeiro classificador, não se aplicou data augmentation para evitar a introdução de artefatos que confundissem a detecção. O treinamento ocorreu por 16.000 iterações com os mesmos hiperparâmetros do classificador (Adam, taxa de aprendizado 0,001, weight decay 0,0001, batch 32), sendo escolhido o modelo com a menor perda na validação.

A avaliação do classificador inicial mostrou bom desempenho. As curvas de treinamento indicaram que o modelo aprendeu padrões generalizáveis sem sobreajuste, com a perda diminuindo nos conjuntos de treinamento e validação. A acurácia na validação estabilizou-se próximo a 80%. No conjunto de teste, o modelo alcançou acurácia de 79,97% e AUC-ROC de 0,88. Estes resultados superam abordagens não supervisionadas no mesmo dataset, que obtiveram AUC de 0,78 (Lin et al., 2022), 0,83 (Lai et al., 2020), e modelos de misturas gaussianas com AUC de 0,84 (Zong et al., 2018). O desempenho superior pode ser atribuído ao treinamento supervisionado e à adequação das CNNs para extrair características de imagens.

Uma análise qualitativa com imagens de animais de estimação fora do dataset corroborou a generalização do classificador. Em um conjunto de oito novas imagens, o modelo classificou seis corretamente (acurácia de 75%), alinhado ao desempenho no conjunto de teste. Isso reforça que o modelo aprendeu características visuais transferíveis. Os erros, como confundir um cão de pelagem clara com um gato, ilustram as dificuldades da tarefa.

O autoencoder teve sucesso na reconstrução de imagens, com a curva de perda (MSE) mostrando uma queda estável, indicando que a rede aprendeu a codificar e decodificar com alta fidelidade. A eficácia da interpolação no espaço latente foi demonstrada qualitativamente. Uma imagem original de um cão, corretamente classificada, foi manipulada pela interpolação com a imagem de um gato. Com baixa manipulação (α = 0,1), a imagem resultante, ainda semelhante ao cão original, foi suficiente para enganar o classificador, que a identificou como um gato. Com manipulação mais intensa (α = 0,5), a imagem híbrida foi classificada como gato com confiança ainda maior. Este experimento demonstrou a vulnerabilidade do classificador a ataques adversários sutis, validando que pequenas perturbações podem alterar a saída de um modelo de aprendizado profundo.

O desempenho do detector de imagens fraudulentas foi o resultado mais significativo. As curvas de treinamento mostraram convergência rápida, com a perda diminuindo e a acurácia na validação aproximando-se de 100% sem sobreajuste. No conjunto de teste, o detector alcançou acurácia de 98,17% e um AUC-ROC de 0,96. Este nível de precisão demonstra a capacidade de distinguir entre imagens autênticas e as manipuladas pelo autoencoder. O sucesso do detector reside na habilidade das CNNs de identificar artefatos de baixo nível e inconsistências estatísticas introduzidas pelo processo de geração sintética.

A literatura corrobora que CNNs são eficientes em explorar padrões locais como texturas e bordas (Al-ghanimi, 2025; Rafique et al., 2023). O processo de decodificação do autoencoder, mesmo em arquiteturas como a U-Net, deixa “impressões digitais” artificiais na imagem, como padrões de ruído ou suavização inconsistente. O detector, treinado para essa tarefa, tornou-se sintonizado para perceber essas anomalias, muitas vezes invisíveis ao olho humano. A análise qualitativa confirmou essa capacidade: o detector identificou como fraudulentas tanto as imagens com manipulação intensa quanto as com alterações sutis, atribuindo altas probabilidades de fraude em ambos os cenários.

Este resultado tem implicações para a segurança de sistemas baseados em imagem. Sugere que, embora modelos de classificação sejam vulneráveis, é possível construir uma camada de defesa que detecta a autenticidade da entrada antes do processamento principal. A robustez do detector, mesmo com manipulações variadas (devido ao uso de α aleatório no treinamento), indica boa capacidade de generalização, fundamental contra ataques desconhecidos. A eficácia demonstrada neste ambiente controlado argumenta a favor da aplicação de abordagens semelhantes em domínios críticos, como detecção de deepfakes ou verificação de documentos de identidade.

A pesquisa demonstrou a viabilidade de um ciclo de ataque e defesa em imagens digitais com aprendizado profundo. A metodologia abrangeu a criação de um classificador, a geração de ataques com um autoencoder U-Net e o desenvolvimento de um detector de fraudes. O classificador alcançou desempenho sólido (acurácia de 79,97%, AUC de 0,88). O autoencoder gerou imagens manipuladas que enganaram o classificador com alterações mínimas, simulando um ataque sofisticado. O principal achado foi a eficácia do detector, que atingiu acurácia de 98,17% e AUC de 0,96, evidenciando a capacidade das CNNs de identificar artefatos de modelos generativos. Os resultados reforçam que a segurança em IA deve incluir mecanismos de verificação de entrada, além da robustez do modelo principal. A capacidade do detector de generalizar para diferentes níveis de manipulação sublinha o potencial da abordagem para segurança de imagem e autenticação visual. As contribuições do estudo são valiosas para o desenvolvimento de defesas em sistemas como autenticação biométrica e verificação de identidade. Futuramente,

Referências:
AL-GHANIMI, Hayder H. O.; LAKIZADEH, Amir. A CNN-based framework for enhancing image segmentation and scene interpretation in fake colorized images: addressing challenges in image analysis and understanding. Ingénierie des Systèmes d’Information, v. 30, n. 2, p. 517-531, 2025. DOI: https://doi. org/10.18280/isi.300223.
ELSON, J.; DOUCEUR, J.; HOWELL, J.; SAUL, J. Asirra: a CAPTCHA that exploits interest-aligned manual image categorization. In: ACM CONFERENCE ON COMPUTER AND COMMUNICATIONS SECURITY (CCS), 14., 2007, New York. Proceedings […]. New York: Association for Computing Machinery, 2007.
FREDIANELLI, L.; CARPITA, S.; BERNARDINI, M.; DEL PIZZO, L. G.; BROCCHI, F.; BIANCO, F.; LICITRA, G. Traffic flow detection using camera images and machine learning methods in ITS for noise map and action plan optimization. Sensors, v. 22, n. 5, p. 1929, 2022. DOI: https://doi. org/10.3390/s22051929.
GOODFELLOW, I.; BENGIO, Y.; COURVILLE, A. Deep learning. Cambridge: MIT Press, 2016. ISBN 978-0262035613.
LAI, Chieh-Hsin; ZOU, Dongmian; LERMAN, Gilad. Robust subspace recovery layer for unsupervised anomaly detection. In: INTERNATIONAL CONFERENCE ON LEARNING REPRESENTATIONS (ICLR), 2020. Proceedings […]. Disponível em: https://arxiv. org/abs/1910.13618. Acesso em: 26 maio 2025.
LI, P.; PEI, Y.; LI, J. A comprehensive survey on design and application of autoencoder in deep learning. Applied Soft Computing, v. 138, 2023. DOI: https://doi. org/10.1016/j. asoc.2023.110176.
LIN, W. Y.; LIU, Z.; LIU, S. Locally varying distance transform for unsupervised visual anomaly detection. In: AVIDAN, S.; BROSTOW, G.; CISSÉ, M.; FARINELLA, G. M.; HASSNER, T. (org.). Computer Vision – ECCV 2022. Cham: Springer, 2022. (Lecture Notes in Computer Science, v. 13690). DOI: https://doi. org/10.1007/978-3-031-20056-4_21.
LITJENS, G. et al. A survey on deep learning in medical image analysis. Medical Image Analysis, v. 42, p. 60–88, 2017.
OPERAÇÃO deep fake: PCGO prende criminosos que tentaram acessar 259 contas bancárias. Governo de Goiás, 2023. Disponível em: https://goias. gov. br/seguranca/operacao-deep-fake-pcgo-prende-criminosos-que-tentaram-acessar-259-contas-bancarias/. Acesso em: 16 mar. 2025.
RAFIQUE, Rimsha; GANTASSI, Rahma; AMIN, Rashid; FRNDA, Jaroslav; MUSTAPHA, Aida; ALSHEHRI, Asma Hassan. Deep fake detection and classification using error-level analysis and deep learning. Scientific Reports, v. 13, n. 1, art. 7422, 2023. DOI: https://doi. org/10.1038/s41598-023-34629-3.
RONNEBERGER, O.; FISCHER, P.; BROX, T. U-Net: convolutional networks for biomedical image segmentation. In: NAVAB, N.; HORNEGGER, J.; WELLS, W.; FRANGI, A. (org.). Medical Image Computing and Computer-Assisted Intervention – MICCAI 2015. Cham: Springer, 2015. p. 234–241. (Lecture Notes in Computer Science, v. 9351).
SEMAFOROS inteligentes podem proporcionar um trânsito mais fluido e seguro. Jornal da USP, 2023. Disponível em: https://jornal. usp. br/radio-usp/semaforos-inteligentes-podem-proporcionar-um-transito-mais-fluido-e-seguro/. Acesso em: 14 mar. 2025.
ZONG, Bo et al. Deep autoencoding Gaussian mixture model for unsupervised anomaly detection. In: INTERNATIONAL CONFERENCE ON LEARNING REPRESENTATIONS (ICLR), 2018. Proceedings […]. Disponível em: https://arxiv. org/abs/1804.03815. Acesso em: 26 maio 2025.

Resumo executivo oriundo de Trabalho de Conclusão de Curso de Especialização em Data Science e Analytics do MBA USP/Esalq

_{Saiba mais sobre o curso; clique aqui:}