محققان از آزمایشگاه دانشگاه شیکاگو یک جعبه ابزار توسعه داد با اجرا اعوجاج عکس ها، جلوگیری از استفاده از آنها برای آموزش تشخیص چهره و سیستم های شناسایی کاربر. تغییرات پیکسلی در تصویر ایجاد میشود که در هنگام مشاهده توسط انسان نامرئی هستند، اما در صورت استفاده برای آموزش سیستمهای یادگیری ماشین منجر به شکلگیری مدلهای نادرست میشوند. کد جعبه ابزار به زبان پایتون و نوشته شده است تحت مجوز BSD مجامع برای لینوکس، macOS و ویندوز.
پردازش عکسها با ابزار پیشنهادی قبل از انتشار در شبکههای اجتماعی و دیگر پلتفرمهای عمومی به شما این امکان را میدهد تا از کاربر در برابر استفاده از دادههای عکس به عنوان منبعی برای آموزش سیستمهای تشخیص چهره محافظت کنید. الگوریتم پیشنهادی در برابر 95 درصد تلاشهای تشخیص چهره محافظت میکند (برای Microsoft Azure Recognition API، Amazon Rekognition و Face++، کارایی حفاظت 100٪ است). علاوه بر این، حتی اگر در آینده از عکسهای اصلی، بدون پردازش توسط ابزار، در مدلی استفاده شود که قبلاً با استفاده از نسخههای تحریفشده عکسها آموزش داده شده است، سطح خرابیها در تشخیص ثابت باقی میماند و حداقل ۸۰ درصد است.
این روش مبتنی بر پدیده "نمونه های متخاصم" است که ماهیت آن این است که تغییرات جزئی در داده های ورودی می تواند منجر به تغییرات چشمگیر در منطق طبقه بندی شود. در حال حاضر، پدیده «نمونههای متخاصم» یکی از اصلیترین مشکلات حلنشده در سیستمهای یادگیری ماشین است. در آینده، انتظار میرود نسل جدیدی از سیستمهای یادگیری ماشین ظهور کنند که عاری از این اشکال باشند، اما این سیستمها نیازمند تغییرات قابلتوجهی در معماری و رویکرد به مدلهای ساختمان هستند.
پردازش عکسها به افزودن ترکیبی از پیکسلها (خوشهها) به تصویر منجر میشود که توسط الگوریتمهای یادگیری ماشین عمیق بهعنوان الگوهای مشخصه شی تصویر شده درک میشوند و منجر به اعوجاج ویژگیهای مورد استفاده برای طبقهبندی میشوند. چنین تغییراتی از مجموعه عمومی متمایز نیست و تشخیص و حذف آنها بسیار دشوار است. حتی با وجود تصاویر اصلی و اصلاح شده، تشخیص اینکه کدام نسخه اصلی و کدام نسخه اصلاح شده است دشوار است.
اعوجاج های معرفی شده مقاومت بالایی در برابر ایجاد اقدامات متقابل با هدف شناسایی عکس هایی که ساختار صحیح مدل های یادگیری ماشین را نقض می کنند، نشان می دهد. از جمله روشهای مبتنی بر محو کردن، اضافه کردن نویز یا اعمال فیلترها به تصویر برای سرکوب ترکیبات پیکسلی مؤثر نیستند. مشکل این است که وقتی فیلترها اعمال می شوند، دقت طبقه بندی بسیار سریعتر از قابلیت تشخیص الگوهای پیکسل کاهش می یابد، و در سطحی که اعوجاج ها سرکوب می شوند، دیگر نمی توان سطح تشخیص را قابل قبول در نظر گرفت.
خاطرنشان می شود که مانند بسیاری از فناوری های دیگر برای محافظت از حریم خصوصی، تکنیک پیشنهادی می تواند نه تنها برای مبارزه با استفاده غیرمجاز از تصاویر عمومی در سیستم های شناسایی، بلکه به عنوان ابزاری برای پنهان کردن مهاجمان نیز مورد استفاده قرار گیرد. محققان بر این باورند که مشکلات مربوط به تشخیص ممکن است عمدتاً بر روی سرویسهای شخص ثالث تأثیر بگذارد که اطلاعات را بهطور غیرقابل کنترل و بدون مجوز برای آموزش مدلهای خود جمعآوری میکنند (به عنوان مثال، سرویس Clearview.ai یک پایگاه داده تشخیص چهره ارائه میدهد، حدود 3 میلیارد عکس از شبکه های اجتماعی ایندکس شده است). اگر در حال حاضر مجموعه چنین خدماتی عمدتاً حاوی تصاویر قابل اعتماد هستند، با استفاده فعال از فاوکس، به مرور زمان، مجموعه عکس های تحریف شده بزرگتر شده و مدل آنها را در اولویت بالاتری برای طبقه بندی قرار می دهد. سیستم های شناسایی سازمان های اطلاعاتی که مدل های آنها بر اساس منابع معتبر ساخته شده اند، کمتر تحت تأثیر ابزارهای منتشر شده قرار خواهند گرفت.
در میان پیشرفت های عملی نزدیک به هدف، می توان به پروژه اشاره کرد ، در حال توسعه برای افزودن به تصاویر ، جلوگیری از طبقه بندی صحیح توسط سیستم های یادگیری ماشین. کد Adversaria دوربین در GitHub تحت مجوز EPL. یک پروژه دیگر هدف آن جلوگیری از تشخیص توسط دوربین های نظارتی از طریق ایجاد کت های بارانی طرح دار خاص، تی شرت، ژاکت، شنل، پوستر یا کلاه است.
منبع: opennet.ru