Chercheurs du laboratoire
Le traitement des photos avec l'utilitaire proposé avant de les publier sur les réseaux sociaux et autres plateformes publiques vous permet de protéger l'utilisateur contre l'utilisation des données photo comme source pour la formation des systèmes de reconnaissance faciale. L'algorithme proposé offre une protection contre 95 % des tentatives de reconnaissance faciale (pour l'API de reconnaissance Microsoft Azure, Amazon Rekognition et Face++, l'efficacité de la protection est de 100 %). De plus, même si à l'avenir les photographies originales, non traitées par l'utilitaire, sont utilisées dans un modèle déjà formé à l'aide de versions déformées de photographies, le niveau d'échec de reconnaissance reste le même et est d'au moins 80 %.
La méthode est basée sur le phénomène des « exemples contradictoires », dont l'essence est que des changements mineurs dans les données d'entrée peuvent conduire à des changements spectaculaires dans la logique de classification. Actuellement, le phénomène des « exemples contradictoires » est l’un des principaux problèmes non résolus des systèmes d’apprentissage automatique. À l’avenir, une nouvelle génération de systèmes d’apprentissage automatique devrait émerger, exempts de cet inconvénient, mais ces systèmes nécessiteront des changements importants dans l’architecture et l’approche de création de modèles.
Le traitement des photographies revient à ajouter une combinaison de pixels (clusters) à l'image, qui sont perçus par les algorithmes d'apprentissage automatique profond comme des motifs caractéristiques de l'objet imagé et conduisent à une distorsion des caractéristiques utilisées pour la classification. De tels changements ne se démarquent pas de l'ensemble général et sont extrêmement difficiles à détecter et à supprimer. Même avec les images originales et modifiées, il est difficile de déterminer quelle est l’originale et quelle est la version modifiée.
Les distorsions introduites démontrent une grande résistance à la création de contre-mesures visant à identifier les photographies qui violent la construction correcte des modèles d'apprentissage automatique. L'inclusion de méthodes basées sur le flou, l'ajout de bruit ou l'application de filtres à l'image pour supprimer les combinaisons de pixels ne sont pas efficaces. Le problème est que lorsque des filtres sont appliqués, la précision de la classification diminue beaucoup plus rapidement que la détectabilité des modèles de pixels, et au niveau où les distorsions sont supprimées, le niveau de reconnaissance ne peut plus être considéré comme acceptable.
Il est à noter que, comme la plupart des autres technologies de protection de la vie privée, la technique proposée peut être utilisée non seulement pour lutter contre l'utilisation non autorisée d'images publiques dans les systèmes de reconnaissance, mais également comme outil pour dissimuler les attaquants. Les chercheurs estiment que les problèmes de reconnaissance peuvent principalement affecter les services tiers qui collectent des informations de manière incontrôlable et sans autorisation pour entraîner leurs modèles (par exemple, le service Clearview.ai propose une base de données de reconnaissance faciale,
Parmi les développements pratiques proches du but, on peut noter le projet
Source: opennet.ru