Tutkijat laboratoriosta Chicagon yliopisto kehitti työkalupakin toteutuksen kanssa valokuvien vääristyminen, mikä estää niiden käytön kasvojentunnistus- ja käyttäjien tunnistusjärjestelmien koulutuksessa. Kuvaan tehdään pikselimuutoksia, jotka ovat näkymättömiä ihmisten katsottuna, mutta johtavat väärien mallien muodostumiseen, kun niitä käytetään koneoppimisjärjestelmien kouluttamiseen. Toolkit-koodi on kirjoitettu Pythonilla ja BSD-lisenssillä. Kokoonpanot Linuxille, macOS:lle ja Windowsille.
Valokuvien käsittely ehdotetulla apuohjelmalla ennen julkaisemista sosiaalisissa verkostoissa ja muilla julkisilla alustoilla antaa sinun suojata käyttäjää käyttämästä valokuvatietoja kasvojentunnistusjärjestelmien koulutuslähteenä. Ehdotettu algoritmi tarjoaa suojan 95 %:lta kasvojentunnistusyrityksiä vastaan (Microsoft Azure -tunnistussovellusliittymälle, Amazon Rekognitionille ja Face++:lle suojatehokkuus on 100 %). Lisäksi vaikka jatkossa alkuperäisiä, apuohjelman käsittelemättömiä valokuvia käytettäisiin mallissa, joka on jo koulutettu käyttämällä vääristyneitä valokuvien versioita, tunnistusvirheiden taso pysyy samana ja on vähintään 80%.
Menetelmä perustuu "vastuullisten esimerkkien" ilmiöön, jonka ydin on, että pienet muutokset syöttötiedoissa voivat johtaa dramaattisiin muutoksiin luokittelulogiikassa. Tällä hetkellä "vastuullisten esimerkkien" ilmiö on yksi tärkeimmistä ratkaisemattomista ongelmista koneoppimisjärjestelmissä. Tulevaisuudessa odotetaan syntyvän uuden sukupolven koneoppimisjärjestelmiä, joissa ei ole tätä haittaa, mutta nämä järjestelmät edellyttävät merkittäviä muutoksia arkkitehtuurissa ja rakennusmallien lähestymistavassa.
Valokuvien prosessointi tarkoittaa pikseleiden (klustereiden) lisäämistä kuvaan, jotka syvät koneoppimisalgoritmit havaitsevat kuvatulle kohteelle ominaisiksi kuvioiksi ja johtavat luokittelussa käytettyjen ominaisuuksien vääristymiseen. Tällaiset muutokset eivät erotu yleisestä joukosta, ja niitä on erittäin vaikea havaita ja poistaa. Jopa alkuperäisistä ja muokatuista kuvista on vaikea määrittää, mikä on alkuperäinen ja mikä muutettu versio.
Esitetyt vääristymät osoittavat suurta vastustuskykyä sellaisten vastatoimien luomiselle, joiden tarkoituksena on tunnistaa valokuvat, jotka rikkovat koneoppimismallien oikeaa rakennetta. Summentamiseen, kohinan lisäämiseen tai kuvaan suodattimien käyttäminen pikseliyhdistelmien estämiseksi ei ole tehokkaita. Ongelmana on, että suodattimia käytettäessä luokittelutarkkuus putoaa paljon nopeammin kuin pikselikuvioiden havaittavuus, ja vääristymien vaimennustasolla tunnistustasoa ei voida enää pitää hyväksyttävänä.
On huomattava, että kuten useimpia muita yksityisyyden suojaamiseen tarkoitettuja tekniikoita, ehdotettua tekniikkaa voidaan käyttää paitsi julkisten kuvien luvattoman käytön torjumiseen tunnistusjärjestelmissä, myös työkaluna hyökkääjien piilottamiseen. Tutkijat uskovat, että tunnistusongelmat voivat vaikuttaa pääasiassa kolmansien osapuolien palveluihin, jotka keräävät tietoa hallitsemattomasti ja ilman lupaa kouluttaa mallejaan (esim. Clearview.ai-palvelu tarjoaa kasvojentunnistustietokannan, noin 3 miljardia valokuvaa sosiaalisista verkostoista indeksoidaan). Jos nyt tällaisten palveluiden kokoelmat sisältävät enimmäkseen luotettavia kuvia, niin Fawkesin aktiivisella käytöllä ajan myötä vääristyneiden valokuvien joukko kasvaa ja malli pitää niitä korkeampana luokittelun prioriteettina. Julkistetut työkalut vaikuttavat vähemmän tiedustelulaitosten tunnistusjärjestelmiin, joiden mallit on rakennettu luotettaviin lähteisiin.
Tarkoituksensa lähellä olevista käytännön kehityshankkeista voidaan mainita hanke , kehittyy lisäämään kuviin , mikä estää oikean luokituksen koneoppimisjärjestelmissä. Kamera Adversaria koodi GitHubissa EPL-lisenssillä. Toinen projekti pyrkii estämään valvontakameroiden tunnistamisen luomalla erityisiä kuviollisia sadetakkeja, T-paitoja, neulepuseroita, viitaja, julisteita tai hattuja.
Lähde: opennet.ru