Невидимая война между людьми и алгоритмами
Опубликовано: 08.07.2026
Каждый день через платформы проходят миллионы изображений. Часть из них — откровенный контент, сгенерированный нейросетями. Платформы отвечают автоматическими фильтрами, а пользователи отвечают способами эти фильтры обойти. Получается странная гонка вооружений, где одна сторона обучает модели распознавать, а другая — маскировать.
Речь не о хакерских атаках в классическом смысле. Больше похоже на/cat-and-mouse/игру на уровне пикселей и математических преобразований. И интересно здесь не только то, как это технически устроено, но и почему простые методы до сих пор иногда срабатывают против систем за сотни миллионов долларов.
Что вообще видит алгоритм
Прежде чем говорить об обходе, стоит понять, что именно происходит внутри модели модерации. Когда картинка попадает в фильтр, она превращается в тензор — многомерный массив чисел. Модель не «видит» тело, лицо или позу. Она оперирует паттернами: определённые комбинации пикселей, которые в процессе обучения были помечены как признаки конкретной категории.
Обучение шло на датасетах, где люди разметили сотни тысяч изображений. Модель выучила корреляции. Проблема в том, что она выучила корреляции, а не понимание. Это фундаментальная уязвимость, которую используют все методы обхода.
Искажение как первый и самый очевидный путь
Самый старый приём — добавить шум. Лёгкое изменение яркости, наложение полупрозрачного паттерна, сдвиг цветовых каналов. Для человеческого глаза картинка остаётся читаемой, а для модели — превращается в нечто непонятное.
Практика показывает, что порог чувствительности у разных систем сильно отличается. То, что пропустит небольшой форум на самописном скрипте, без шансов пройдёт через модерацию крупной платформы. Но и гиганты иногда спотыкаются: если шум подобран грамотно, вероятность детекции падает с 98% до 60–70%. Для массовой рассылки этого достаточно — часть контента пройдёт.
Популярные вариации:
- Случайный шум с низким коэффициентом. Добавляется прямо в пиксели. Визуально — лёгкая зернистость, как у старой плёнки.
- Сжатие с потерями. Повторное сохранение в JPEG с низким качеством уничтожает тонкие признаки, на которые опирается модель.
- Маскирующие элементы. Полупрозрачный текст, геометрические фигуры, логотипы в стратегических зонах изображения.
Каждый метод по отдельности давно известен платформам, и фильтры обучаются компенсировать эти искажения. Но комбинации методов создают проблему: модель нужно обучать на всех возможных сочетаниях, а пространство вариантов растёт экспоненциально.
Adversarial-атаки: точечные удары по нейронной сети
Здесь начинается уже серьёзная математика. Adversarial-методы — это не просто «испортить картинку». Это целенаправленное изменение минимального количества пикселей так, чтобы модель изменила своё решение.
Представьте изображение, которое классификатор определяет как запрещённый контент с уверенностью 99%. Специальный алгоритм подбирает изменения — иногда буквально несколько пикселей, невидимых глазу, — и уверенность падает до 3%. Картинка выглядит идентично, но для нейросети содержимое изменилось кардинально.

Существуют готовые инструменты и библиотеки для генерации adversarial-патчей. Человек без глубоких знаний в машинном обучении может запустить скрипт и получить модифицированное изображение. Платформы знают об этой проблеме и применяют adversarial training — дообучают модели на таких примерах. Но каждый новый тип атаки требует нового цикла обучения, а это время и деньги.
Ограничение метода — нестабильность. Патч, сработавший против одной версии модели, может оказаться бесполезным против следующей. Платформы обновляют фильтры регулярно, и то, что работало месяц назад, сегодня уже мимо.
Стеганография: скрытие внутри другого
Отдельная ветка — стеганографические методы. Информация прячется не в визуальном содержимом, а в структуре файла. Например, в наименее значимых битах пикселей (LSB-стеганография) можно закодировать другое изображение. Визуально файл выглядит как обычная фотография пейзажа, но при правильном извлечении из него достаётся совершенно иное содержимое.
Для модерационных алгоритмов это сложный случай, потому что они анализируют именно визуальный слой. Если стеганография выполнена корректно, фильтр видит пейзаж и пропускает файл. Раскрытие происходит только при целевом анализе — если платформа подозревает конкретного пользователя и запускает глубокую проверку.
Минус очевиден: получателю нужен инструмент для извлечения. Это уже не массовый контент, а точечная передача. В контексте публичных платформ метод имеет ограниченное применение, но для закрытых каналов связи работает неплохо.
Почему простые методы до сих пор живы
Логичный вопрос: если технологии продвинулись так далеко, почему банальное добавление шума или полупрозрачной сетки всё ещё что-то пропускает?
Причин несколько. Первая — масштаб. Крупные платформы обрабатывают сотни миллионов изображений в сутки. Модерационная модель должна работать быстро, за миллисекунды. Это означает компромисс между точностью и скоростью. Более точные модели тяжелее, их дороже гонять на каждом файле.
Вторая — многослойность проверки. Часто первый фильтр — лёгкий и быстрый. Если он пропускает изображение, оно может не попасть на второй, более тяжёлый этап. Ресурсы ограничены, и архитектура модерации строится на вероятностях, а не на абсолютной гарантии.

Третья — специфика сгенерированного контента. Нейросети создают изображения с характерными артефактами: странная текстура кожи, неестественные переходы, искажённые мелкие детали. Эти артефакты одновременно и помогают фильтрам выявлять дипфейки, и мешают им — потому что модель иногда цепляется за артефакты вместо содержимого, и искажение этих артефактов сбивает её с толку.
Риски для тех, кто скрывает
С технической стороны обход фильтров — интересная задача. С практической — поле, усеянное последствиями. Платформы не ограничиваются автоматической модерацией. Существуют системы поведенческого анализа, отслеживание паттернов загрузок, сигнатуры инструментов обработки.
Если пользователь систематически загружает изображения с характерными признаками adversarial-модификации, это само по себе становится сигналом. Платформы научились выявлять не только контент, но и намерение скрыть контент. Это отдельный класс моделей, который анализирует метаданные, историю аккаунта, частоту и время публикаций.
Кроме того, законодательство в большинстве стран движется в сторону ужесточения. Технический обход фильтров трактуется не как хакерское развлечение, а как умысел. Разница между «загрузил и не знал, что заблокируют» и «целенаправленно модифицировал, чтобы обойти систему» в юридическом плане существенная.
Что будет дальше
Гонка не заканчивается. Появляются диффузионные модели, которые генерируют контент всё реалистичнее — а значит, и сложнее для детекции. Параллельно развиваются мультимодальные фильтры, которые анализируют не только изображение, но и сопутствующий текст, контекст публикации, связи между аккаунтами.
Adversarial-защита тоже эволюционирует. Появляются подходы на основе сертификации устойчивости — математического доказательства того, что модель не может быть обманута изменением более чем N пикселей. Пока это больше исследовательская тема, чем промышленное решение, но направление явно указывает на то, что окно возможностей сужается.
Технически любая система обнаружения уязвима — это аксиома информационной безопасности. Вопрос не в том, можно ли обойти фильтр, а в том, останется ли этот обход незамеченным в цепочке других механизмов контроля. И с каждым годом ответ на второй вопрос становится всё менее утешительным для тех, кто пытается играть в прятки с алгоритмами.