Studiuesit nga laboratori Universiteti i Çikagos zhvilloi një paketë mjetesh me zbatimin shtrembërimi i fotografive, duke parandaluar përdorimin e tyre për trajnimin e njohjes së fytyrës dhe sistemeve të identifikimit të përdoruesve. Ndryshimet në pixel bëhen në imazh, të cilat janë të padukshme kur shikohen nga njerëzit, por çojnë në formimin e modeleve të pasakta kur përdoren për të trajnuar sistemet e mësimit të makinerive. Kodi i paketës së veglave është shkruar në Python dhe nën licencën BSD. Asambletë për Linux, macOS и Windows.

Përpunimi i fotografive me programin e propozuar përpara se t'i publikoni në rrjetet sociale dhe platformat e tjera publike ju lejon të mbroni përdoruesin nga përdorimi i të dhënave të fotografive si një burim për trajnimin e sistemeve të njohjes së fytyrës. Algoritmi i propozuar siguron mbrojtje kundër 95% të përpjekjeve për njohjen e fytyrës (për API-në e njohjes së Microsoft Azure, Njohjen e Amazon dhe Face++, efikasiteti i mbrojtjes është 100%). Për më tepër, edhe nëse në të ardhmen fotografitë origjinale, të papërpunuara nga shërbimi, përdoren në një model që tashmë është trajnuar duke përdorur versione të shtrembëruara të fotografive, niveli i dështimeve në njohje mbetet i njëjtë dhe është të paktën 80%.
Metoda bazohet në fenomenin e "shembujve kundërshtarë", thelbi i të cilit është se ndryshimet e vogla në të dhënat hyrëse mund të çojnë në ndryshime dramatike në logjikën e klasifikimit. Aktualisht, fenomeni i "shembujve kundërshtarë" është një nga problemet kryesore të pazgjidhura në sistemet e mësimit të makinerive. Në të ardhmen, pritet të shfaqet një gjeneratë e re e sistemeve të mësimit të makinerive, të cilat janë pa këtë pengesë, por këto sisteme do të kërkojnë ndryshime të rëndësishme në arkitekturën dhe qasjen ndaj modeleve të ndërtimit.
Përpunimi i fotografive zbret në shtimin e një kombinimi pikselësh (grumbullimesh) në imazh, të cilat perceptohen nga algoritmet e thellë të mësimit të makinerive si modele karakteristike të objektit të imazhit dhe çojnë në shtrembërim të veçorive të përdorura për klasifikim. Ndryshime të tilla nuk dallohen nga grupi i përgjithshëm dhe janë jashtëzakonisht të vështira për t'u zbuluar dhe hequr. Edhe me imazhet origjinale dhe të modifikuara, është e vështirë të përcaktohet se cili është origjinali dhe cili është versioni i modifikuar.

Deformimet e paraqitura tregojnë rezistencë të lartë ndaj krijimit të kundërmasave që synojnë identifikimin e fotografive që shkelin ndërtimin e saktë të modeleve të mësimit të makinerive. Përfshirja e metodave të bazuara në turbullimin, shtimin e zhurmës ose aplikimin e filtrave në imazh për të shtypur kombinimet e pikselave nuk janë efektive. Problemi është se kur aplikohen filtrat, saktësia e klasifikimit bie shumë më shpejt sesa zbulueshmëria e modeleve të pikselëve, dhe në nivelin kur shtrembërimet shtypen, niveli i njohjes nuk mund të konsiderohet më i pranueshëm.
Vihet re se, si shumica e teknologjive të tjera për mbrojtjen e privatësisë, teknika e propozuar mund të përdoret jo vetëm për të luftuar përdorimin e paautorizuar të imazheve publike në sistemet e njohjes, por edhe si një mjet për fshehjen e sulmuesve. Studiuesit besojnë se problemet me njohjen mund të prekin kryesisht shërbimet e palëve të treta që mbledhin informacion në mënyrë të pakontrolluar dhe pa leje për të trajnuar modelet e tyre (për shembull, shërbimi Clearview.ai ofron një bazë të dhënash për njohjen e fytyrës, janë indeksuar rreth 3 miliardë foto nga rrjetet sociale). Nëse tani koleksionet e shërbimeve të tilla përmbajnë imazhe kryesisht të besueshme, atëherë me përdorimin aktiv të Fawkes, me kalimin e kohës, grupi i fotove të shtrembëruara do të jetë më i madh dhe modeli do t'i konsiderojë ato një përparësi më të lartë për klasifikim. Sistemet e njohjes së agjencive të inteligjencës, modelet e të cilave janë ndërtuar mbi bazën e burimeve të besueshme, do të preken më pak nga mjetet e publikuara.
Ndër zhvillimet praktike të afërta për nga qëllimi, mund të veçojmë projektin , duke u zhvilluar për të shtuar në imazhe , duke parandaluar klasifikimin e saktë nga sistemet e mësimit të makinerive. Kodi i kamerës Adversaria në GitHub nën licencën EPL. Një tjetër projekt synon të bllokojë njohjen nga kamerat e vëzhgimit përmes krijimit të mushamave, bluzave, pulovrave, pelerinave, posterave ose kapeleve me modele të veçanta.
Burimi: opennet.ru
