Naukowcy z laboratorium
Przetwarzanie zdjęć za pomocą proponowanego narzędzia przed publikacją na portalach społecznościowych i innych platformach publicznych pozwala zabezpieczyć użytkownika przed wykorzystaniem danych fotograficznych jako źródła do szkolenia systemów rozpoznawania twarzy. Zaproponowany algorytm zapewnia ochronę przed 95% prób rozpoznania twarzy (dla API rozpoznawania Microsoft Azure, Amazon Rekognition i Face++ skuteczność ochrony wynosi 100%). Co więcej, nawet jeśli w przyszłości oryginalne, nieprzetworzone przez narzędzie fotografie zostaną użyte w modelu, który został już wytrenowany na zniekształconych wersjach zdjęć, poziom błędów w rozpoznawaniu pozostaje taki sam i wynosi co najmniej 80%.
Metoda opiera się na zjawisku „przykładów kontradyktoryjnych”, którego istota polega na tym, że drobne zmiany danych wejściowych mogą prowadzić do dramatycznych zmian w logice klasyfikacji. Obecnie zjawisko „kontradyktoryjnych przykładów” jest jednym z głównych nierozwiązanych problemów w systemach uczenia maszynowego. Oczekuje się, że w przyszłości pojawi się nowa generacja systemów uczenia maszynowego, które będą wolne od tej wady, jednak systemy te będą wymagały znaczących zmian w architekturze i podejściu do budowania modeli.
Obróbka zdjęć sprowadza się do dodania do obrazu kombinacji pikseli (klastrów), które odbierane są przez algorytmy głębokiego uczenia maszynowego jako wzorce charakterystyczne dla obrazowanego obiektu i prowadzą do zniekształcenia cech wykorzystywanych do klasyfikacji. Zmiany takie nie wyróżniają się na tle ogółu i są niezwykle trudne do wykrycia i usunięcia. Nawet w przypadku obrazów oryginalnych i zmodyfikowanych trudno jest określić, która wersja jest oryginalna, a która zmodyfikowana.
Wprowadzone zniekształcenia wykazują dużą odporność na tworzenie środków zaradczych mających na celu identyfikację fotografii naruszających poprawną konstrukcję modeli uczenia maszynowego. Uwzględnianie metod opartych na rozmyciu, dodawaniu szumu lub stosowaniu filtrów do obrazu w celu tłumienia kombinacji pikseli nie jest skuteczne. Problem w tym, że przy zastosowaniu filtrów dokładność klasyfikacji spada znacznie szybciej niż wykrywalność wzorców pikseli, a na poziomie tłumienia zniekształceń poziom rozpoznania nie może być już uznawany za akceptowalny.
Należy zauważyć, że podobnie jak większość innych technologii ochrony prywatności, proponowaną technikę można wykorzystać nie tylko do zwalczania nieuprawnionego wykorzystania publicznego wizerunku w systemach rozpoznawania, ale także jako narzędzie do ukrywania napastników. Badacze uważają, że problemy z rozpoznawaniem mogą dotyczyć głównie zewnętrznych usług, które w sposób niekontrolowany i bez pozwolenia na uczenie swoich modeli zbierają informacje (przykładowo usługa Clearview.ai oferuje bazę danych rozpoznawania twarzy,
Wśród praktycznych rozwiązań zbliżonych do celu możemy wyróżnić projekt
Źródło: opennet.ru