Forscher aus dem Labor Die University of Chicago hat ein Toolkit entwickelt mit Umsetzung Verzerrung von Fotos, wodurch ihre Verwendung für das Training von Gesichtserkennungs- und Benutzeridentifikationssystemen verhindert wird. Es werden Pixelveränderungen am Bild vorgenommen, die für den Menschen unsichtbar sind, beim Training maschineller Lernsysteme jedoch zur Bildung falscher Modelle führen. Der Toolkit-Code ist in Python geschrieben und unter BSD-Lizenz. Versammlungen für Linux, macOS und Windows.
Durch die Verarbeitung von Fotos mit dem vorgeschlagenen Dienstprogramm vor der Veröffentlichung in sozialen Netzwerken und anderen öffentlichen Plattformen können Sie den Benutzer davor schützen, Fotodaten als Quelle für das Training von Gesichtserkennungssystemen zu verwenden. Der vorgeschlagene Algorithmus bietet Schutz vor 95 % der Gesichtserkennungsversuche (für die Microsoft Azure-Erkennungs-API, Amazon Rekognition und Face++ beträgt die Schutzeffizienz 100 %). Darüber hinaus bleibt die Fehlerquote bei der Erkennung gleich und liegt bei mindestens 80 %, selbst wenn in Zukunft die Originalfotos, die vom Dienstprogramm nicht verarbeitet wurden, in einem Modell verwendet werden, das bereits mit verzerrten Versionen von Fotos trainiert wurde.
Die Methode basiert auf dem Phänomen der „kontradiktorischen Beispiele“, dessen Kern darin besteht, dass geringfügige Änderungen in den Eingabedaten zu dramatischen Änderungen in der Klassifizierungslogik führen können. Derzeit ist das Phänomen der „kontradiktorischen Beispiele“ eines der größten ungelösten Probleme in maschinellen Lernsystemen. Es wird erwartet, dass in Zukunft eine neue Generation maschineller Lernsysteme entstehen wird, die diesen Nachteil nicht aufweisen. Diese Systeme erfordern jedoch erhebliche Änderungen in der Architektur und im Ansatz zum Erstellen von Modellen.
Bei der Verarbeitung von Fotos kommt es darauf an, dem Bild eine Kombination von Pixeln (Clustern) hinzuzufügen, die von Deep-Machine-Learning-Algorithmen als für das abgebildete Objekt charakteristische Muster wahrgenommen werden und zu einer Verzerrung der zur Klassifizierung verwendeten Merkmale führen. Solche Änderungen heben sich nicht vom Gesamtumfang ab und sind äußerst schwer zu erkennen und zu entfernen. Selbst bei den Original- und modifizierten Bildern ist es schwierig zu bestimmen, welches das Original und welches die modifizierte Version ist.
Die eingeführten Verzerrungen zeigen einen hohen Widerstand gegen die Schaffung von Gegenmaßnahmen zur Identifizierung von Fotos, die gegen die korrekte Konstruktion von Modellen des maschinellen Lernens verstoßen. Das Einbeziehen von Methoden, die auf Unschärfe, Hinzufügen von Rauschen oder dem Anwenden von Filtern auf das Bild basieren, um Pixelkombinationen zu unterdrücken, ist nicht effektiv. Das Problem besteht darin, dass bei der Anwendung von Filtern die Klassifizierungsgenauigkeit viel schneller abnimmt als die Erkennbarkeit von Pixelmustern, und auf dem Niveau, auf dem die Verzerrungen unterdrückt werden, das Erkennungsniveau nicht mehr als akzeptabel angesehen werden kann.
Es wird darauf hingewiesen, dass die vorgeschlagene Technik, wie die meisten anderen Technologien zum Schutz der Privatsphäre, nicht nur zur Bekämpfung der unbefugten Verwendung öffentlicher Bilder in Erkennungssystemen, sondern auch als Instrument zum Verstecken von Angreifern eingesetzt werden kann. Forscher gehen davon aus, dass Erkennungsprobleme vor allem Dienste von Drittanbietern betreffen könnten, die unkontrolliert und ohne Erlaubnis Informationen sammeln, um ihre Modelle zu trainieren (z. B. bietet der Dienst Clearview.ai eine Gesichtserkennungsdatenbank an, etwa 3 Milliarden Fotos aus sozialen Netzwerken sind indexiert). Wenn die Sammlungen solcher Dienste nun überwiegend zuverlässige Bilder enthalten, wird bei der aktiven Nutzung von Fawkes mit der Zeit der Satz verzerrter Fotos größer und das Modell wird ihnen eine höhere Priorität für die Klassifizierung einräumen. Die Erkennungssysteme von Geheimdiensten, deren Modelle auf zuverlässigen Quellen basieren, werden von den veröffentlichten Tools weniger betroffen sein.
Unter den praktischen Entwicklungen mit ähnlichem Zweck können wir das Projekt erwähnen , sich entwickelnd zum Hinzufügen zu Bildern , was eine korrekte Klassifizierung durch maschinelle Lernsysteme verhindert. Camera Adversaria-Code auf GitHub unter EPL-Lizenz. Ein weiteres Projekt Ziel ist es, die Erkennung durch Überwachungskameras durch die Herstellung speziell gemusterter Regenmäntel, T-Shirts, Pullover, Umhänge, Poster oder Hüte zu verhindern.
Source: opennet.ru