Onderzoekers van het laboratorium
Door foto's te verwerken met het voorgestelde hulpprogramma voordat ze op sociale netwerken en andere openbare platforms worden gepubliceerd, kunt u de gebruiker beschermen tegen het gebruik van fotogegevens als bron voor het trainen van gezichtsherkenningssystemen. Het voorgestelde algoritme biedt bescherming tegen 95% van de gezichtsherkenningspogingen (voor de Microsoft Azure-herkennings-API, Amazon Rekognition en Face++ is de beschermingsefficiëntie 100%). Bovendien, zelfs als in de toekomst de originele foto's, die niet door het hulpprogramma zijn verwerkt, worden gebruikt in een model dat al is getraind met behulp van vervormde versies van foto's, blijft het niveau van fouten bij de herkenning hetzelfde en bedraagt dit minstens 80%.
De methode is gebaseerd op het fenomeen ‘tegenstrijdige voorbeelden’, waarvan de essentie is dat kleine veranderingen in invoergegevens kunnen leiden tot dramatische veranderingen in de classificatielogica. Momenteel is het fenomeen van ‘tegenstrijdige voorbeelden’ een van de belangrijkste onopgeloste problemen in machine learning-systemen. Er wordt verwacht dat er in de toekomst een nieuwe generatie machine learning-systemen zal ontstaan die vrij zijn van dit nadeel, maar deze systemen zullen aanzienlijke veranderingen vereisen in de architectuur en de benadering van het bouwen van modellen.
Het verwerken van foto's komt neer op het toevoegen van een combinatie van pixels (clusters) aan het beeld, die door deep machine learning-algoritmen worden waargenomen als patronen die kenmerkend zijn voor het afgebeelde object en leiden tot vervorming van de kenmerken die voor classificatie worden gebruikt. Dergelijke veranderingen onderscheiden zich niet van het algemene geheel en zijn uiterst moeilijk te detecteren en te verwijderen. Zelfs met de originele en gewijzigde afbeeldingen is het moeilijk om te bepalen welke het origineel en welke de gewijzigde versie is.
De geïntroduceerde vervormingen demonstreren een hoge weerstand tegen het creëren van tegenmaatregelen gericht op het identificeren van foto's die de correcte constructie van machine learning-modellen schenden. Het opnemen van methoden op basis van vervaging, het toevoegen van ruis of het toepassen van filters op de afbeelding om pixelcombinaties te onderdrukken, is niet effectief. Het probleem is dat wanneer filters worden toegepast, de nauwkeurigheid van de classificatie veel sneller afneemt dan de detecteerbaarheid van pixelpatronen, en op het niveau waarop de vervormingen worden onderdrukt, kan het herkenningsniveau niet langer als acceptabel worden beschouwd.
Opgemerkt wordt dat, net als de meeste andere technologieën voor de bescherming van de privacy, de voorgestelde techniek niet alleen kan worden gebruikt om het ongeoorloofde gebruik van openbare afbeeldingen in herkenningssystemen te bestrijden, maar ook als een hulpmiddel om aanvallers te verbergen. Onderzoekers zijn van mening dat problemen met herkenning vooral van invloed kunnen zijn op diensten van derden die op ongecontroleerde wijze informatie verzamelen en zonder toestemming om hun modellen te trainen (de dienst Clearview.ai biedt bijvoorbeeld een database voor gezichtsherkenning,
Onder de praktische ontwikkelingen die dichtbij het doel liggen, kunnen we het project noteren
Bron: opennet.ru