Forscher aus dem Labor
Durch die Verarbeitung von Fotos mit dem vorgeschlagenen Dienstprogramm vor der Veröffentlichung in sozialen Netzwerken und anderen öffentlichen Plattformen können Sie den Benutzer davor schützen, Fotodaten als Quelle für das Training von Gesichtserkennungssystemen zu verwenden. Der vorgeschlagene Algorithmus bietet Schutz vor 95 % der Gesichtserkennungsversuche (für die Microsoft Azure-Erkennungs-API, Amazon Rekognition und Face++ beträgt die Schutzeffizienz 100 %). Darüber hinaus bleibt die Fehlerquote bei der Erkennung gleich und liegt bei mindestens 80 %, selbst wenn in Zukunft die Originalfotos, die vom Dienstprogramm nicht verarbeitet wurden, in einem Modell verwendet werden, das bereits mit verzerrten Versionen von Fotos trainiert wurde.
Die Methode basiert auf dem Phänomen der „kontradiktorischen Beispiele“, dessen Kern darin besteht, dass geringfügige Änderungen in den Eingabedaten zu dramatischen Änderungen in der Klassifizierungslogik führen können. Derzeit ist das Phänomen der „kontradiktorischen Beispiele“ eines der größten ungelösten Probleme in maschinellen Lernsystemen. Es wird erwartet, dass in Zukunft eine neue Generation maschineller Lernsysteme entstehen wird, die diesen Nachteil nicht aufweisen. Diese Systeme erfordern jedoch erhebliche Änderungen in der Architektur und im Ansatz zum Erstellen von Modellen.
Bei der Verarbeitung von Fotos kommt es darauf an, dem Bild eine Kombination von Pixeln (Clustern) hinzuzufügen, die von Deep-Machine-Learning-Algorithmen als für das abgebildete Objekt charakteristische Muster wahrgenommen werden und zu einer Verzerrung der zur Klassifizierung verwendeten Merkmale führen. Solche Änderungen heben sich nicht vom Gesamtumfang ab und sind äußerst schwer zu erkennen und zu entfernen. Selbst bei den Original- und modifizierten Bildern ist es schwierig zu bestimmen, welches das Original und welches die modifizierte Version ist.
Die eingeführten Verzerrungen zeigen einen hohen Widerstand gegen die Schaffung von Gegenmaßnahmen zur Identifizierung von Fotos, die gegen die korrekte Konstruktion von Modellen des maschinellen Lernens verstoßen. Das Einbeziehen von Methoden, die auf Unschärfe, Hinzufügen von Rauschen oder dem Anwenden von Filtern auf das Bild basieren, um Pixelkombinationen zu unterdrücken, ist nicht effektiv. Das Problem besteht darin, dass bei der Anwendung von Filtern die Klassifizierungsgenauigkeit viel schneller abnimmt als die Erkennbarkeit von Pixelmustern, und auf dem Niveau, auf dem die Verzerrungen unterdrückt werden, das Erkennungsniveau nicht mehr als akzeptabel angesehen werden kann.
Es wird darauf hingewiesen, dass die vorgeschlagene Technik, wie die meisten anderen Technologien zum Schutz der Privatsphäre, nicht nur zur Bekämpfung der unbefugten Verwendung öffentlicher Bilder in Erkennungssystemen, sondern auch als Instrument zum Verstecken von Angreifern eingesetzt werden kann. Forscher gehen davon aus, dass Erkennungsprobleme vor allem Dienste von Drittanbietern betreffen könnten, die unkontrolliert und ohne Erlaubnis Informationen sammeln, um ihre Modelle zu trainieren (z. B. bietet der Dienst Clearview.ai eine Gesichtserkennungsdatenbank an,
Unter den praktischen Entwicklungen mit ähnlichem Zweck können wir das Projekt erwähnen
Source: opennet.ru