Investigadores do laboratorio a Universidade de Chicago desenvolveu un conxunto de ferramentas coa implantación distorsión das fotografías, impedindo o seu uso para adestrar sistemas de recoñecemento facial e identificación de usuarios. Os cambios de píxeles realízanse na imaxe, que son invisibles cando os ven os humanos, pero conducen á formación de modelos incorrectos cando se usan para adestrar sistemas de aprendizaxe automática. O código do kit de ferramentas está escrito en Python e baixo licenza BSD. Asembleas para Linux, macOS e Windows.
O procesar fotos coa utilidade proposta antes de publicalas en redes sociais e noutras plataformas públicas permítelle protexer ao usuario do uso de datos fotográficos como fonte para adestrar sistemas de recoñecemento facial. O algoritmo proposto ofrece protección contra o 95 % dos intentos de recoñecemento facial (para a API de recoñecemento de Microsoft Azure, Amazon Rekognition e Face++, a eficiencia da protección é do 100 %). Ademais, aínda que no futuro as fotografías orixinais, non procesadas pola utilidade, se utilicen nun modelo que xa foi adestrado utilizando versións distorsionadas de fotografías, o nivel de fallos no recoñecemento segue sendo o mesmo e é polo menos do 80%.
O método baséase no fenómeno dos "exemplos adversarios", cuxa esencia é que cambios menores nos datos de entrada poden levar a cambios dramáticos na lóxica de clasificación. Actualmente, o fenómeno dos "exemplos adversarios" é un dos principais problemas sen resolver nos sistemas de aprendizaxe automática. No futuro, espérase que xurda unha nova xeración de sistemas de aprendizaxe automática que estean libres deste inconveniente, pero estes sistemas requirirán cambios significativos na arquitectura e no enfoque dos modelos de construción.
O procesamento de fotografías redúcese a engadir unha combinación de píxeles (clusters) á imaxe, que son percibidos por algoritmos de aprendizaxe automática profunda como patróns característicos do obxecto coa imaxe e conducen á distorsión das características utilizadas para a clasificación. Tales cambios non se destacan do conxunto xeral e son extremadamente difíciles de detectar e eliminar. Aínda coas imaxes orixinais e modificadas, é difícil determinar cal é a orixinal e cal é a versión modificada.
As distorsións introducidas demostran unha alta resistencia á creación de contramedidas dirixidas a identificar fotografías que infrinxen a correcta construción dos modelos de aprendizaxe automática. Incluír métodos baseados no desenfoque, engadir ruído ou aplicar filtros á imaxe para suprimir combinacións de píxeles non son efectivos. O problema é que cando se aplican filtros, a precisión da clasificación cae moito máis rápido que a detectabilidade dos patróns de píxeles e, no nivel en que se suprimen as distorsións, o nivel de recoñecemento xa non se pode considerar aceptable.
Nótase que, como a maioría das outras tecnoloxías para protexer a privacidade, a técnica proposta pode utilizarse non só para combater o uso non autorizado de imaxes públicas nos sistemas de recoñecemento, senón tamén como ferramenta para ocultar aos atacantes. Os investigadores cren que os problemas de recoñecemento poden afectar principalmente aos servizos de terceiros que recollen información de forma incontrolada e sen permiso para adestrar os seus modelos (por exemplo, o servizo Clearview.ai ofrece unha base de datos de recoñecemento facial, están indexadas uns 3 millóns de fotos das redes sociais). Se agora as coleccións deste tipo de servizos conteñen principalmente imaxes fiables, entón co uso activo de Fawkes, co paso do tempo, o conxunto de fotos distorsionadas será maior e o modelo consideraraas unha maior prioridade para a clasificación. Os sistemas de recoñecemento das axencias de intelixencia, cuxos modelos están construídos a partir de fontes fiables, veranse menos afectados polas ferramentas publicadas.
Entre desenvolvementos prácticos próximos ao propósito, podemos destacar o proxecto , en desenvolvemento para engadir ás imaxes , evitando a correcta clasificación por sistemas de aprendizaxe automática. Código de cámara Adversaria en GitHub baixo licenza EPL. Outro proxecto pretende bloquear o recoñecemento das cámaras de vixilancia mediante a creación de chuvasqueiros, camisetas, xerseis, capas, carteis ou sombreiros especiais estampados.
Fonte: opennet.ru