Các nhà nghiên cứu từ phòng thí nghiệm Đại học Chicago đã phát triển một bộ công cụ với việc thực hiện làm biến dạng các bức ảnh, ngăn cản việc sử dụng chúng để đào tạo hệ thống nhận dạng khuôn mặt và nhận dạng người dùng. Các thay đổi về pixel được thực hiện đối với hình ảnh, không thể nhìn thấy được khi con người xem nhưng dẫn đến việc hình thành các mô hình không chính xác khi được sử dụng để huấn luyện hệ thống máy học. Mã bộ công cụ được viết bằng Python và theo giấy phép BSD. hội đồng cho Linux, macOS và Windows.
Xử lý ảnh bằng tiện ích được đề xuất trước khi xuất bản lên mạng xã hội và các nền tảng công cộng khác cho phép bạn bảo vệ người dùng sử dụng dữ liệu ảnh làm nguồn đào tạo hệ thống nhận dạng khuôn mặt. Thuật toán đề xuất cung cấp khả năng bảo vệ chống lại 95% nỗ lực nhận dạng khuôn mặt (đối với API nhận dạng Microsoft Azure, Amazon Rekognition và Face++, hiệu quả bảo vệ là 100%). Hơn nữa, ngay cả khi trong tương lai, những bức ảnh gốc, chưa được tiện ích xử lý, được sử dụng trong một mô hình đã được đào tạo bằng cách sử dụng các phiên bản ảnh bị bóp méo, thì mức độ lỗi nhận dạng vẫn giữ nguyên và ít nhất là 80%.
Phương pháp này dựa trên hiện tượng “các ví dụ đối nghịch”, bản chất của nó là những thay đổi nhỏ trong dữ liệu đầu vào có thể dẫn đến những thay đổi đáng kể trong logic phân loại. Hiện nay, hiện tượng “ví dụ đối nghịch” là một trong những vấn đề chính chưa được giải quyết trong hệ thống học máy. Trong tương lai, dự kiến sẽ xuất hiện một thế hệ hệ thống máy học mới không có nhược điểm này, nhưng những hệ thống này sẽ yêu cầu những thay đổi đáng kể trong kiến trúc và cách tiếp cận xây dựng mô hình.
Việc xử lý ảnh bao gồm việc thêm tổ hợp các pixel (cụm) vào hình ảnh, được các thuật toán học máy sâu coi là các mẫu đặc trưng của đối tượng được chụp và dẫn đến sự biến dạng của các tính năng được sử dụng để phân loại. Những thay đổi như vậy không nổi bật so với tập hợp chung và cực kỳ khó phát hiện và loại bỏ. Ngay cả với hình ảnh gốc và hình ảnh đã được chỉnh sửa, rất khó để xác định đâu là bản gốc, đâu là bản đã chỉnh sửa.
Những biến dạng được giới thiệu cho thấy khả năng chống lại việc tạo ra các biện pháp đối phó nhằm xác định những bức ảnh vi phạm việc xây dựng chính xác các mô hình học máy là rất cao. Việc bao gồm các phương pháp dựa trên việc làm mờ, thêm nhiễu hoặc áp dụng các bộ lọc vào hình ảnh để ngăn chặn sự kết hợp pixel đều không hiệu quả. Vấn đề là khi áp dụng các bộ lọc, độ chính xác của phân loại giảm nhanh hơn nhiều so với khả năng phát hiện của các mẫu pixel và ở mức độ biến dạng bị triệt tiêu, mức độ nhận dạng không còn có thể được coi là chấp nhận được.
Cần lưu ý rằng, giống như hầu hết các công nghệ khác để bảo vệ quyền riêng tư, kỹ thuật được đề xuất không chỉ có thể được sử dụng để chống lại việc sử dụng trái phép hình ảnh công cộng trong hệ thống nhận dạng mà còn là công cụ để che giấu những kẻ tấn công. Các nhà nghiên cứu tin rằng các vấn đề về nhận dạng có thể chủ yếu ảnh hưởng đến các dịch vụ của bên thứ ba thu thập thông tin một cách không kiểm soát và không được phép đào tạo mô hình của họ (ví dụ: dịch vụ Clearview.ai cung cấp cơ sở dữ liệu nhận dạng khuôn mặt, khoảng 3 tỷ bức ảnh từ mạng xã hội được lập chỉ mục). Nếu bây giờ bộ sưu tập của các dịch vụ như vậy hầu hết đều chứa hình ảnh đáng tin cậy, thì với việc sử dụng Fawkes tích cực, theo thời gian, bộ ảnh bị biến dạng sẽ lớn hơn và mô hình sẽ coi chúng là mức độ ưu tiên cao hơn để phân loại. Hệ thống nhận dạng của các cơ quan tình báo, các mô hình được xây dựng trên cơ sở các nguồn đáng tin cậy, sẽ ít bị ảnh hưởng hơn bởi các công cụ được công bố.
Trong số những phát triển thực tế gần với mục đích, chúng ta có thể lưu ý đến dự án , đang phát triển để thêm vào hình ảnh , ngăn chặn việc phân loại chính xác của hệ thống máy học. Mã đối thủ của máy ảnh trên GitHub theo giấy phép EPL. Một dự án khác nhằm mục đích ngăn chặn sự nhận dạng của camera giám sát thông qua việc tạo ra áo mưa, áo phông, áo len, áo choàng, áp phích hoặc mũ có hoa văn đặc biệt.
Nguồn: opennet.ru