Naukowcy z laboratorium Uniwersytet w Chicago opracował zestaw narzędzi z wdrożeniem zniekształcanie zdjęć, uniemożliwiające ich wykorzystanie do szkolenia systemów rozpoznawania twarzy i identyfikacji użytkowników. W obrazie wprowadzane są zmiany w pikselach, które są niewidoczne dla człowieka, ale prowadzą do powstania nieprawidłowych modeli podczas uczenia systemów uczenia maszynowego. Kod zestawu narzędzi jest napisany w języku Python i na licencji BSD. Zespoły dla Linuksa, macOS i Windowsa.
Przetwarzanie zdjęć za pomocą proponowanego narzędzia przed publikacją na portalach społecznościowych i innych platformach publicznych pozwala zabezpieczyć użytkownika przed wykorzystaniem danych fotograficznych jako źródła do szkolenia systemów rozpoznawania twarzy. Zaproponowany algorytm zapewnia ochronę przed 95% prób rozpoznania twarzy (dla API rozpoznawania Microsoft Azure, Amazon Rekognition i Face++ skuteczność ochrony wynosi 100%). Co więcej, nawet jeśli w przyszłości oryginalne, nieprzetworzone przez narzędzie fotografie zostaną użyte w modelu, który został już wytrenowany na zniekształconych wersjach zdjęć, poziom błędów w rozpoznawaniu pozostaje taki sam i wynosi co najmniej 80%.
Metoda opiera się na zjawisku „przykładów kontradyktoryjnych”, którego istota polega na tym, że drobne zmiany danych wejściowych mogą prowadzić do dramatycznych zmian w logice klasyfikacji. Obecnie zjawisko „kontradyktoryjnych przykładów” jest jednym z głównych nierozwiązanych problemów w systemach uczenia maszynowego. Oczekuje się, że w przyszłości pojawi się nowa generacja systemów uczenia maszynowego, które będą wolne od tej wady, jednak systemy te będą wymagały znaczących zmian w architekturze i podejściu do budowania modeli.
Obróbka zdjęć sprowadza się do dodania do obrazu kombinacji pikseli (klastrów), które odbierane są przez algorytmy głębokiego uczenia maszynowego jako wzorce charakterystyczne dla obrazowanego obiektu i prowadzą do zniekształcenia cech wykorzystywanych do klasyfikacji. Zmiany takie nie wyróżniają się na tle ogółu i są niezwykle trudne do wykrycia i usunięcia. Nawet w przypadku obrazów oryginalnych i zmodyfikowanych trudno jest określić, która wersja jest oryginalna, a która zmodyfikowana.
Wprowadzone zniekształcenia wykazują dużą odporność na tworzenie środków zaradczych mających na celu identyfikację fotografii naruszających poprawną konstrukcję modeli uczenia maszynowego. Uwzględnianie metod opartych na rozmyciu, dodawaniu szumu lub stosowaniu filtrów do obrazu w celu tłumienia kombinacji pikseli nie jest skuteczne. Problem w tym, że przy zastosowaniu filtrów dokładność klasyfikacji spada znacznie szybciej niż wykrywalność wzorców pikseli, a na poziomie tłumienia zniekształceń poziom rozpoznania nie może być już uznawany za akceptowalny.
Należy zauważyć, że podobnie jak większość innych technologii ochrony prywatności, proponowaną technikę można wykorzystać nie tylko do zwalczania nieuprawnionego wykorzystania publicznego wizerunku w systemach rozpoznawania, ale także jako narzędzie do ukrywania napastników. Badacze uważają, że problemy z rozpoznawaniem mogą dotyczyć głównie zewnętrznych usług, które w sposób niekontrolowany i bez pozwolenia na uczenie swoich modeli zbierają informacje (przykładowo usługa Clearview.ai oferuje bazę danych rozpoznawania twarzy, indeksowanych jest około 3 miliardów zdjęć z sieci społecznościowych). Jeśli obecnie w zbiorach takich serwisów znajdują się głównie wiarygodne obrazy, to przy aktywnym korzystaniu z Fawkesa z biegiem czasu zestaw zniekształconych zdjęć będzie większy, a model uzna je za wyższy priorytet klasyfikacji. Na systemy rozpoznawania agencji wywiadowczych, których modele budowane są w oparciu o wiarygodne źródła, w mniejszym stopniu będą miały wpływ publikowane narzędzia.
Wśród praktycznych rozwiązań zbliżonych do celu możemy wyróżnić projekt , rozwijający się dodać do obrazów , uniemożliwiając prawidłową klasyfikację przez systemy uczenia maszynowego. Kod przeciwnika aparatu na GitHubie na licencji EPL. Kolejny projekt ma na celu zablokowanie rozpoznania przez kamery monitoringu poprzez tworzenie specjalnych wzorzystych płaszczy przeciwdeszczowych, T-shirtów, swetrów, peleryn, plakatów czy czapek.
Źródło: opennet.ru