Teadlased laborist Chicago Ülikool töötas välja tööriistakomplekti koos rakendamisega fotode moonutamine, takistades nende kasutamist näotuvastus- ja kasutajatuvastussüsteemide koolitamiseks. Pildis tehakse pikslite muudatusi, mis on inimesele vaadates nähtamatud, kuid masinõppesüsteemide treenimisel põhjustavad valede mudelite moodustumist. Tööriistakomplekti kood on kirjutatud Pythonis ja BSD litsentsi alusel. Assambleed Linuxi, macOS-i ja Windowsi jaoks.
Fotode töötlemine pakutud utiliidiga enne sotsiaalvõrgustikes ja muudel avalikel platvormidel avaldamist võimaldab teil kaitsta kasutajat fotoandmete kasutamise eest näotuvastussüsteemide koolitamise allikana. Pakutud algoritm pakub kaitset 95% näotuvastuskatsete eest (Microsoft Azure'i tuvastamise API, Amazon Rekognitioni ja Face++ puhul on kaitsetõhusus 100%). Veelgi enam, isegi kui tulevikus kasutatakse utiliidi poolt töötlemata originaalfotosid mudelis, mis on juba koolitatud fotode moonutatud versioonidega, jääb äratundmise ebaõnnestumiste tase samaks ja on vähemalt 80%.
Meetod põhineb “vastaste näidete” fenomenil, mille olemus seisneb selles, et väikesed muudatused sisendandmetes võivad viia dramaatilistele muutustele klassifitseerimisloogikas. Praegu on „vastaste näidete” fenomen masinõppesüsteemides üks peamisi lahendamata probleeme. Tulevikus on oodata uue põlvkonna masinõppesüsteemide tekkimist, millel pole seda puudust, kuid need süsteemid nõuavad olulisi muudatusi arhitektuuris ja mudelite ehitamise lähenemisviisis.
Fotode töötlemine taandub pildile pikslite (klastrite) kombinatsiooni lisamisega, mida sügavad masinõppe algoritmid tajuvad pildistatavale objektile iseloomulike mustritena ja põhjustavad klassifitseerimiseks kasutatavate tunnuste moonutamist. Sellised muutused ei paista üldkogumi hulgast silma ning neid on äärmiselt raske tuvastada ja eemaldada. Isegi originaal- ja muudetud piltide puhul on raske kindlaks teha, milline on originaal ja milline muudetud versioon.
Kasutusele võetud moonutused näitavad suurt vastupanuvõimet vastumeetmete loomisele, mille eesmärk on tuvastada fotod, mis rikuvad masinõppemudelite õiget konstruktsiooni. Hägusel, müra lisamisel või pildile filtrite rakendamisel põhinevate meetodite kaasamine pikslikombinatsioonide mahasurumiseks ei ole tõhusad. Probleem on selles, et filtrite rakendamisel langeb klassifikatsiooni täpsus palju kiiremini kui pikslimustrite tuvastatavus ja moonutuste summutamise tasemel ei saa tuvastusastet enam vastuvõetavaks pidada.
Märgitakse, et nagu enamikku muid privaatsuse kaitsmise tehnoloogiaid, saab pakutud tehnikat kasutada mitte ainult avalike piltide loata kasutamise vastu tuvastussüsteemides, vaid ka ründajate peitmise vahendina. Teadlased usuvad, et tuvastamisega seotud probleemid võivad peamiselt mõjutada kolmandate osapoolte teenuseid, mis koguvad teavet kontrollimatult ja ilma loata oma mudeleid koolitada (näiteks Clearview.ai teenus pakub näotuvastuse andmebaasi, umbes 3 miljardit fotot sotsiaalvõrgustikest on indekseeritud). Kui praegu sisaldavad selliste teenuste kogud valdavalt usaldusväärseid pilte, siis Fawkesi aktiivsel kasutamisel muutub aja jooksul moonutatud fotode hulk suuremaks ja mudel peab neid klassifitseerimisel kõrgemaks prioriteediks. Avaldatud tööriistad mõjutavad vähem luureagentuuride tuvastussüsteeme, mille mudelid on üles ehitatud usaldusväärsete allikate põhjal.
Praktiliste arenduste hulgas, mis on eesmärgi poolest lähedased, võib märkida projekti , arenev piltidele lisamiseks , mis takistab masinõppesüsteemide õiget klassifitseerimist. Kaamera Adversaria kood GitHubis EPL-litsentsi alusel. Teine projekt eesmärk on blokeerida valvekaamerate tuvastamine spetsiaalsete mustriga vihmamantlite, T-särkide, kampsunite, keebide, plakatite või mütside loomise kaudu.
Allikas: opennet.ru