الباحثون من المختبر طورت جامعة شيكاغو مجموعة أدوات مع التنفيذ تشويه الصور الفوتوغرافية، ومنع استخدامها في التدريب على أنظمة التعرف على الوجوه وتحديد هوية المستخدم. يتم إجراء تغييرات على البكسل في الصورة، والتي تكون غير مرئية عند مشاهدتها من قبل البشر، ولكنها تؤدي إلى تكوين نماذج غير صحيحة عند استخدامها لتدريب أنظمة التعلم الآلي. كود مجموعة الأدوات مكتوب بلغة Python و بموجب ترخيص BSD. الجمعيات لنظام التشغيل Linux و macOS و Windows.
تتيح لك معالجة الصور باستخدام الأداة المساعدة المقترحة قبل النشر على الشبكات الاجتماعية والمنصات العامة الأخرى حماية المستخدم من استخدام بيانات الصور كمصدر لتدريب أنظمة التعرف على الوجوه. توفر الخوارزمية المقترحة الحماية ضد 95% من محاولات التعرف على الوجه (بالنسبة لواجهة برمجة تطبيقات التعرف على Microsoft Azure وAmazon Rekognition وFace++، تبلغ كفاءة الحماية 100%). علاوة على ذلك، حتى لو تم في المستقبل استخدام الصور الأصلية، التي لم تتم معالجتها بواسطة الأداة المساعدة، في نموذج تم تدريبه بالفعل باستخدام نسخ مشوهة من الصور الفوتوغرافية، فإن مستوى الفشل في التعرف يظل كما هو ويبلغ 80٪ على الأقل.
وتعتمد الطريقة على ظاهرة "الأمثلة المتعارضة"، وجوهرها هو أن التغييرات الطفيفة في البيانات المدخلة يمكن أن تؤدي إلى تغييرات جذرية في منطق التصنيف. حاليًا، تعد ظاهرة "الأمثلة المتعارضة" إحدى المشكلات الرئيسية التي لم يتم حلها في أنظمة التعلم الآلي. ومن المتوقع في المستقبل أن يظهر جيل جديد من أنظمة التعلم الآلي خالية من هذا العيب، لكن هذه الأنظمة ستتطلب تغييرات كبيرة في الهندسة المعمارية ونهج بناء النماذج.
تتلخص معالجة الصور الفوتوغرافية في إضافة مجموعة من وحدات البكسل (المجموعات) إلى الصورة، والتي تعتبرها خوارزميات التعلم الآلي العميقة بمثابة أنماط مميزة للكائن المصور وتؤدي إلى تشويه الميزات المستخدمة للتصنيف. مثل هذه التغييرات لا تبرز عن المجموعة العامة ويصعب للغاية اكتشافها وإزالتها. حتى مع الصور الأصلية والمعدلة، من الصعب تحديد ما هي النسخة الأصلية وما هي النسخة المعدلة.
تُظهر التشوهات المقدمة مقاومة عالية لإنشاء تدابير مضادة تهدف إلى تحديد الصور التي تنتهك البناء الصحيح لنماذج التعلم الآلي. إن تضمين الأساليب المعتمدة على التمويه، أو إضافة التشويش، أو تطبيق المرشحات على الصورة لمنع مجموعات البكسل ليست فعالة. المشكلة هي أنه عند تطبيق المرشحات، تنخفض دقة التصنيف بشكل أسرع بكثير من إمكانية اكتشاف أنماط البكسل، وعلى المستوى الذي يتم فيه قمع التشوهات، لم يعد من الممكن اعتبار مستوى التعرف مقبولاً.
تجدر الإشارة إلى أنه، مثل معظم التقنيات الأخرى لحماية الخصوصية، يمكن استخدام التقنية المقترحة ليس فقط لمكافحة الاستخدام غير المصرح به للصور العامة في أنظمة التعرف، ولكن أيضًا كأداة لإخفاء المهاجمين. يعتقد الباحثون أن مشاكل التعرف قد تؤثر بشكل رئيسي على خدمات الطرف الثالث التي تجمع المعلومات بشكل لا يمكن السيطرة عليه ودون الحصول على إذن لتدريب نماذجها (على سبيل المثال، تقدم خدمة Clearview.ai قاعدة بيانات للتعرف على الوجوه، تتم فهرسة حوالي 3 مليارات صورة من الشبكات الاجتماعية). إذا كانت مجموعات هذه الخدمات تحتوي الآن على صور موثوقة في الغالب، فمع الاستخدام النشط لـ Fawkes، بمرور الوقت، ستكون مجموعة الصور المشوهة أكبر وسيعتبرها النموذج أولوية أعلى للتصنيف. إن أنظمة التعرف الخاصة بوكالات الاستخبارات، والتي يتم بناء نماذجها على أساس مصادر موثوقة، ستكون أقل تأثراً بالأدوات المنشورة.
ومن بين التطورات العملية القريبة من الهدف، يمكننا أن نلاحظ المشروع ، النامية لإضافتها إلى الصور ، منع التصنيف الصحيح بواسطة أنظمة التعلم الآلي. رمز الكاميرا Adversaria على GitHub بموجب ترخيص EPL. مشروع آخر يهدف إلى منع التعرف على كاميرات المراقبة من خلال إنشاء معاطف مطر أو قمصان أو سترات أو عباءات أو ملصقات أو قبعات منقوشة بشكل خاص.
المصدر: opennet.ru