Clanek pochazi z Meduza.io
Rychlý pokrok algoritmů umělé inteligence stále více vede k narušení soukromí uživatelů v reálném světě. Je to způsobeno rostoucí účinností systémů rozpoznávání obličejů.
Mohou být použity pro relativně neškodné marketingové účely korporace (například když sociální sítě sbírají vaše fotografie jako součást další flash mob – ukažte, jak jste vypadali před 18 / 10 lety atd. p.m.) a v represivním – orgánech, které s pomocí kamer CCTV počítají účastníky pouličních protestů. Vědci nejsou prvním rokem, kdy bojují proti nežádoucímu uznání tváří – ale dosud nebyli schopni vynalézt spolehlivý nástroj ochrany. Rozhodli jsme se prostudovat, jak se systémy navrhují, které stále více nesou dobro, ale hrozbu, jaké metody boje s nimi jsou známy – a proč se žádná z těchto metod nejeví ideálně.
Abyste pochopili, jak se vypořádat se systémy rozpoznáváním obličejů, musíte nejprve zjistit, jak fungují.
.
Za prvé, systém musí sbírat obrázky obličejů. Potřebuje spoustu kvalitních fotografií, které jsou vhodné pro další zpracování. Lze je získat z různých zdrojů. Může to být obrázky na sociálních sítích, různé video sledovací systémy, fotografie z pasy, řidičské průkazy a další dokumenty ve státních databázích.
.
Ve druhé fázi jsou původní snímky předzvěstí. Nezpracované obrazy z prvního stupně mají často špatnou strukturu (rozsáhlá velikost obličejů, náhodné lidi v rámu). Pro zjednodušení následujících úkolů systém rozpoznávání obličeje předrackyje obrázky – odstraňuje pozadí, vytahuje každého jednotlivce a zabývá se normalizací. V důsledku toho systém dostává sadu dobře strukturovaných obrazů obličejů.
.
Třetí etapa je trénink nervové sítě, která vytahuje známky obličeje. Převádí obraz obličeje na rysový vektor.
Vlastnost vektor je číselná reprezentace obličeje, která odráží jeho jedinečné vlastnosti v kompaktní formě. Vizuální informace (očičí, nos, ústa, tvar obličeje, struktura kůže a tak dále) se přemění na vysoce drozměrný prostor rysů, kde každý rozměr představuje specifickou vlastnost charakteristický rys.
Pro přesné rozpoznání musí být vypočtené vektory velmi podobné pro fotografie téže osoby, ale zároveň se velmi liší u fotografií různých lidí. Pro zvýšení efektivity je taková nervová síť obvykle vyškolena na miliony předem uznávaných (označených) obrazů obličejů. Podepisujte vektory v systémech rozpoznávání obličejů jsou obvykle jedinečné pro každou neuronovou síť, která je generuje.
.
Pak si musíte vytvořit databázi pro srovnání. Tato databáze obsahuje rozsáhlou sbírku obrazů jednotlivců a odpovídající vektory značení. Recognition systémy takové databáze označených osob je nutná pro srovnání s nimi s nimi neznámých (neoznačovaných) osob. Kromě toho obvykle obsahuje osobní údaje lidí – zejména pokud byly ke sběru obrázků používány sociální sítě nebo státní informační systémy. To znamená, že kromě obrázků osob a vektorů značek mohou tyto databáze zahrnovat jména a příjmení, narozeniny, telefonní čísla, e-mailové adresy, fyzické adresy a podobné informace.
.
Pátým je rozpoznávání obličejů. V reálném čase systém obdrží neoznačený obraz obličeje, vytáhne svůj rys vektor, pak použije tento vektor k dotazu do databáze, aby se porovnal s ostatními vektory a pokusil se najít shodu. Pokud je vektor z dotazu dostatečně podobný vektoru z databáze, systém prohlašuje, že osoba byla uznána. Po identifikaci obrázku z požadavků je databáze často doplněna pro srovnání. Pokud je obličej rozpoznán, bude obraz použit ke zlepšení stávajících značek vektorů určité osoby. Pokud nebude rozpoznán, pak bude v porovnání s porovnáním vytvořen nový profil s obrazem neznámého a vektorem obličeje.
Nyní o tom, jak bojovat s rozpoznáváním obličeje (v kterémkoli kroku popsaném v první kapitole)
Výzkumníci z Chicagské univerzity na konci roku 2021 systematizovali stávající technologie v té době v boji proti systémům masového rozpoznávání obličejů. Vysvětlili, že teoreticky můžete zasahovat do provozu systémů v každé z pěti výše popsaných fází.
. . .
Ovládání sociálních sítí a boj s videokamerami
V první fázi se můžete pokusit zabránit systému ve sbírání původních obrázků. V boji proti sběru fotografií ze sociálních sítí mohou jejich majitelé například zavést technická omezení týkající se těchto dat a uživatelé mohou přestat zveřejňovat nové fotografie. A můžete bojovat proti kamerovým systémům tím, že se vyhnete videokamžnům nebo narušujete jejich práci. Ve druhém případě se bavíme nejen o fyzickém zničení komor, ale také o jejich osvětlení laserem nebo rozmazání čočkou s hustou látkou.
Přirozeně, nic takového nelze doporučit – jakýkoli dopad na tuto techniku může být důvodem pro zahájení trestního řízení (například podle článku 214 trestního zákoníku Ruské federace „Vandalismu“. Bude také obtížné vyhnout se objektivům: od veřejného seznamu videokamer se v Rusku neočekává, že identifikují osoby. Jejich umístění bude koordinováno s místními odděleními ministerstva vnitra a FSB – a příslušné dokumenty budou mít úctyhodné „pro úřední účely“. Aby se proto vybudovala cesta, která by pravděpodobně prošla kolem bodů sběru informací pro systémy rozpoznávání obličejů, je nepravděpodobné, že by uspěla.
Masky a trička
Ve druhé fázi můžete zabránit systému, aby se vyrovnal s předúhotu obrázku. Zde jsou dvě hlavní oblasti – zabraňují odhalení osoby a její anonymizace.
Abyste zabránili detekci videokamerií, můžete nosit speciální trička, která musí zmást nervovou síť. V již připravených obrázcích můžete provádět rušení, které bude také narušovat algoritmy počítačového vidění a správně klasifikovat objekty.
- Vědci z Ben Gurionovy univerzity vynalezli na objektivu videopohlavní nálepky, která oklamala detektory objektů. Speciálně navržená kresba může pomoci skrýt se před nervovými sítěmi součástí objektů určité třídy a zachovat si schopnost rozpoznat zbytek. Vývojáři této metody dosáhli toho, že Tesla Model X ignorovala 42% značek „Stop“. Jejich kolegové se domnívají, že takové nálepky mohou být použity k ukrytí lidí před kamerovými systémy. Pokud by taková nálepka mohla být namontována na kameru ve vstupu, pak by svědomitě odstranila všechny příchozí – ale neuronová síť z takové střelby by nemohla být schopna identifikovat polovinu obličejů.
Pro anonymizaci v reálném životě si můžete nasadit masku, klobouk, použít make-up. V případě hotových fotek s pomocí generativních neuronových sítí můžete modifikovat tváře skutečných lidí, výrazně změnit vektor značek a rekonstruovat obličej na něm.
- Výzkumníci z univerzity Zhejiang vytvořili prototyp fotoaparátu telefonního telefonu, který okamžitě pořídil anonymizované fotografie. Toho není dosaženo modifem hardwaru, ale pouze prací s parametry vestavěných funkcí zpracování obrazu v kameře (barevné korekční matice a korekce gama). Přesnost identifikace osob v obdržených snímcích se snižuje na 0,3 %. Teoreticky mohou být tyto obrázky okamžitě nahrány na internet, aniž by se to zpracovaly pomocí jiných programů pro anonymizaci zobrazených osob.
.
Iglynety neuronových sítí
Když se neurální síť naučí extrahovat vektor známek obličejů, můžete ji přilepit na „jedovatá“ data. Poškozená zdrojová data mohou vést k částečnému i úplnému selhání nervové sítě.
- Můžete jen míchat systémové snímky, na kterých se nemůže nic naučit, ale budou hodně potřebovat.
- Efektivnější způsob je přidat snímky do datového souboru pro umělou inteligenci. Nutí model převychovat se, což věnuje pozornost především speciálně navrženým falešným značkám a vyřazují se do opravdu významných. V důsledku toho nebude mítna neuronová síť, která se rekvalifikovaná neuhotová, nebudou moci extrahovat kvalitativní vektory vlastností nezbytných pro přesné rozpoznávání obličejů.
.
- Crashing – výsledky hledání
Ve čtvrté fázi se můžete pokusit pokazit databázi příkladnými obrázky a obsahovat vektory používané k rozpoznávání neoznačených obrázků. Zdá se, že poškozená databáze bude úspěšně rozpoznávat nové snímky. Ale místo toho, aby osoba hledala, bude dávat informace o jiné osobě a ukázat fotky ostatních. Chcete-li odpadky na bázi sbírané ze sociálních sítí, můžete vyložit speciálně zpracované fotografie.
- Dva programy – Fawkes z University of Chicago a LowKey z University of Maryland a U.S. Naval Academy – byly vytvořeny, aby změnily jednotlivé pixely na fotografii před zveřejněním na internetu. Tyto změny zkreslují vektor vlastností a posunují je na třetí strany (jejich nápisy se používají jako vodítko). V důsledku toho je osoba na fotografii nesprávně definována jako někdo jiný. Oba vývoj jsou k dispozici běžným uživatelům.
- Výzkumníci z firmy PeopleTec se naučili vytvářet obrazy v odstínech šedivých, klamavých algoritmů počítačového vidění. Obrázek, který člověk vidí, umísťuje na průsvový průsvitný pro přední zařízení (alfa kanál PNG-film). Neuronety jsou ignorovány, zpracovávají pouze obraz na pozadí – je obraz neviditelný pro lidské oko. V důsledku toho člověk vidí obrázek letiště a nervová síť je nukleární houbou. Místo fotografie kočky GPT-4 vidí tam jen skrytou zprávu. Pokud systém rozpoznávání obličejů sklouzí fotografii zpracovanou tímto způsobem, přátelé uvidí na obrázku vás a neuronová síť je cizincem.
.
Make-up a znovu otrava
V páté fázi se můžete pokusit zabránit identifikaci osoby na určitém obrázku. V případě ochrany proti systému sledování videa může pomoci make-up nebo zvláštní příslušenství, které zkreslí obraz obličeje takovým způsobem, že jej systém nemůže správně zařadit. Další možnost – promítané na obličeji infračervené světlo, neviditelné lidské oko. Ready-made obrázky s pomocí těchto triků jsou nepřizpůsobivé rušení nahradit funkce vektor.
Všechny tyto obličejové obranyschopnosti nezaručují 100% výsledek. Co by mělo být zaručeno?
Ideální systém ochrany proti nechtěnému rozpoznávání obličejů by podle vědců z Chicagské univerzity měl mít několik vlastností:
- Musí se vyrovnat s neustále se vyvíjejícím systémem rozpoznávání obličejů. zajistit dlouhodobou ochranu;
- Měla by pomoci i uživatelům s nechráčenými obrázky jednotlivců na internetu. chránit před stávajícími systémy rozpoznávání;
- Neměl by vyžadovat účast nebo pomoc třetích stran. mít možnost ji použít samostatně;
- Měl by přinést minimální nepříjemnosti do každodenního života uživatelů. Proto se z tohoto důvodu neodmítne.
- Mělo by to mít minimální dopad na ostatní lidi. Aby je neohrožovali (například dát jednu osobu jako druhou).
Naneštěstí ani jedna stávající technologie ochrany proti rozpoznávání obličejů plně neodpovídá alespoň prvnímu bodu – to znamená, že neposkytuje spolehlivou dlouhodobou ochranu.
V roce 2021 tedy výzkumníci z Googlu, Stanfordovy univerzity a Oregonské státní univerzity na příkladu výše zmíněných programů Fawkes a LowKey ukázali, že strategie boje proti systémům rozpoznávání obličejů má významná omezení. Dostupnost těchto technologií umožňuje vývojářům systému s nimi experimentovat a přizpůsobovat své nervové sítě deformaci. Kdyby technologie zůstala utajovaná, bylo by pro ně těžší odolat. To znamená, že v době vynálezu by Fawkes a LowKey mohli skutečně chránit uživatele, ale nyní s větší pravděpodobností uvolní falešný pocit bezpečí.
Tags: Meduza.io , inteligence , umela inteligence , oblicej , rozpoznavani , identifikace ,