Istraživači iz laboratorija Sveučilište u Chicagu razvilo je alat s provedbom izobličenje fotografija, sprječavanje njihove upotrebe za obuku sustava za prepoznavanje lica i identifikaciju korisnika. Na slici se vrše promjene piksela koje su nevidljive kada ih gledaju ljudi, ali dovode do formiranja netočnih modela kada se koriste za obuku sustava strojnog učenja. Kod skupa alata napisan je u Pythonu i pod BSD licencom. skupštine za Linux, macOS i Windows.
Obrada fotografija s predloženim uslužnim programom prije objavljivanja na društvenim mrežama i drugim javnim platformama omogućuje zaštitu korisnika od korištenja foto podataka kao izvora za obuku sustava za prepoznavanje lica. Predloženi algoritam pruža zaštitu od 95% pokušaja prepoznavanja lica (za Microsoft Azure recognition API, Amazon Rekognition i Face++, učinkovitost zaštite je 100%). Štoviše, čak i ako se u budućnosti izvorne fotografije, neobrađene od strane uslužnog programa, koriste u modelu koji je već obučen korištenjem iskrivljenih verzija fotografija, razina neuspjeha u prepoznavanju ostaje ista i iznosi najmanje 80%.
Metoda se temelji na fenomenu „suparničkih primjera“, čija je bit da manje promjene u ulaznim podacima mogu dovesti do dramatičnih promjena u logici klasifikacije. Trenutačno je fenomen "suparničkih primjera" jedan od glavnih neriješenih problema u sustavima strojnog učenja. U budućnosti se očekuje pojava nove generacije sustava za strojno učenje bez ovog nedostatka, no ti će sustavi zahtijevati značajne promjene u arhitekturi i pristupu izgradnji modela.
Obrada fotografija svodi se na dodavanje kombinacije piksela (klastera) na sliku, koje algoritmi dubokog strojnog učenja percipiraju kao uzorke karakteristične za snimani objekt i dovode do iskrivljenja značajki korištenih za klasifikaciju. Takve promjene ne odskaču od općeg skupa i izuzetno ih je teško otkriti i ukloniti. Čak i kod originalnih i modificiranih slika, teško je odrediti koja je originalna, a koja modificirana verzija.
Uvedena izobličenja pokazuju visoku otpornost na stvaranje protumjera usmjerenih na identifikaciju fotografija koje krše ispravnu konstrukciju modela strojnog učenja. Uključivanje metoda temeljenih na zamućivanju, dodavanju šuma ili primjeni filtara na sliku za suzbijanje kombinacija piksela nije učinkovito. Problem je u tome što kada se primjenjuju filtri, točnost klasifikacije pada mnogo brže od detektabilnosti uzoraka piksela, a na razini kada su distorzije potisnute, razina prepoznavanja više se ne može smatrati prihvatljivom.
Napominje se da se, kao i većina drugih tehnologija za zaštitu privatnosti, predložena tehnika može koristiti ne samo za borbu protiv neovlaštenog korištenja javnih slika u sustavima za prepoznavanje, već i kao alat za skrivanje napadača. Istraživači vjeruju da problemi s prepoznavanjem uglavnom mogu utjecati na usluge trećih strana koje nekontrolirano i bez dopuštenja prikupljaju informacije za obuku svojih modela (primjerice, usluga Clearview.ai nudi bazu podataka za prepoznavanje lica, indeksira se oko 3 milijarde fotografija s društvenih mreža). Ako sada zbirke takvih usluga sadrže uglavnom pouzdane slike, tada će s aktivnim korištenjem Fawkesa s vremenom skup iskrivljenih fotografija biti veći i model će ih smatrati višim prioritetom za klasifikaciju. Objavljeni alati manje će utjecati na sustave prepoznavanja obavještajnih agencija, čiji su modeli izgrađeni na temelju pouzdanih izvora.
Među praktičnim razvojem bliskim namjeni, možemo primijetiti projekt , razvijanje dodati slikama , sprječavajući ispravnu klasifikaciju sustavima strojnog učenja. Kod kamere Adversaria na GitHubu pod EPL licencom. Još jedan projekt ima za cilj blokirati prepoznavanje od strane nadzornih kamera stvaranjem posebnih kabanica s uzorkom, majica kratkih rukava, džempera, ogrtača, postera ili šešira.
Izvor: opennet.ru