Новый инструмент для защиты от программного обеспечения для распознавания лиц, разработанный исследователями Чикагского университета. Быстрый рост систем распознавания лиц привел к тому, что технологии стали использоваться во многих сферах нашей повседневной жизни, знаем мы об этом или нет. То, что может показаться безобидным, когда Facebook идентифицирует друга на загруженной фотографии, становится все более зловещим на таких предприятиях, как Clearview AI, частная компания, которая обучила свою систему распознавания лиц на миллиардах изображений, скопированных без согласия из социальных сетей и Интернета. Но до сих пор у людей было мало средств защиты от такого использования своих изображений, за исключением того, что они вообще не публиковали фотографии.

Новый исследовательский проект факультета компьютерных наук Чикагского университета обеспечивает новый мощный механизм защиты. Программный инструмент под названием Fawkes (Фоукс) «маскирует» фотографии, чтобы обмануть компьютерные модели глубокого обучения, обеспечивающие распознавание лиц, без заметных изменений, видимых человеческим глазом. Имея в обращении достаточное количество замаскированных фотографий, компьютерный наблюдатель не сможет идентифицировать человека даже по неизмененному изображению, защищая личную жизнь от несанкционированных и злонамеренных вторжений. Инструмент нацелен на несанкционированное использование личных изображений и не влияет на модели, построенные с использованием законно полученных изображений, например, используемые правоохранительными органами.

«Речь идет о предоставлении отдельным лицам свободы воли», — сказала Эмили Венгер, аспирантка третьего курса и соруководитель проекта со студентом-первокурсником Шоном Шаном. «Мы не питаем иллюзий, что это решит все нарушения конфиденциальности и вероятно существуют как технические, так и юридические решения, которые помогут предотвратить злоупотребление этой технологией. Но цель Фоукса — дать людям некоторую силу, чтобы защитить себя, потому что в настоящее время ничего подобного не существует».

Этот метод основан на том факте, что машины «видят» изображения иначе, чем люди. Для модели машинного обучения изображения — это просто числа, представляющие каждый пиксель, которые системы, известные как нейронные сети, математически организуют в функции, которые они используют для различения объектов или людей. При загрузке достаточного количества разных фотографий человека эти модели могут использовать эти уникальные функции для идентификации человека на новых фотографиях, метод, используемый для систем безопасности, смартфонов и — все чаще — правоохранительных органов, рекламы и других спорных приложений.

С Фоуксом, названным в честь маски Гая Фокса, использованной революционерами в графическом романе «V означает Вендетта», Венгер и Шан с соавторами Цзяюнь Чжан, Хуэйин Ли из Чикаго. Профессора Бен Чжао и Хизер Чжэн используют эту разницу между человеческим и компьютерным восприятием для защиты конфиденциальности. Изменяя небольшой процент пикселей, чтобы кардинально изменить то, как человек воспринимается компьютерным «глазом», этот подход портит модель распознавания лиц, так что он маркирует реальные фотографии пользователя чужой личностью. Но для человека-наблюдателя изображение кажется неизменным.

В документе, который будет представлен на симпозиуме по безопасности USENIX в следующем месяце, исследователи обнаружили, что этот метод почти на 100% эффективен при блокировке распознавания современными моделями Amazon, Microsoft и других компаний. Хотя это не может нарушить существующие модели, уже обученные на неизмененных изображениях, загруженных из Интернета, публикация замаскированных изображений может в конечном итоге стереть онлайн-след человека, говорят авторы, делая будущие модели неспособными распознать этого человека.

«Во многих случаях мы не контролируем все наши изображения в Интернете; некоторые могут быть размещены из общедоступных источников или размещены нашими друзьями», — сказал Шан. «В этом сценарии Фоукс остается успешным, когда количество замаскированных изображений превышает количество скрытых изображений. Поэтому для пользователей, у которых уже есть много изображений в Интернете, один из способов улучшить их защиту — выпустить еще больше изображений самих себя, и все они должны быть замаскированные, чтобы сбалансировать соотношение».

В начале августа о Фоуксе писала New York Times. Однако исследователи прояснили несколько моментов из статьи. По состоянию на 3 августа инструмент собрал почти 100 000 загрузок, и команда обновила программное обеспечение, чтобы предотвратить значительные искажения, описанные в статье, которые частично были вызваны некоторыми выбросами в общедоступном наборе данных.

Чжао также ответил на утверждение генерального директора Clearview Хоана Тон-Тата о том, что уже слишком поздно для того, чтобы такая технология стала эффективной, учитывая миллиарды изображений, которые компания уже собрала, и что компания может использовать Фоукс для улучшения способности своей модели расшифровывать измененные изображения.

«Фоукс основан на отравлении», — сказал Чжао. То, что предложил генеральный директор Clearview, сродни состязательному обучению, которое не работает против атаки отравления. Обучение его модели на замаскированных изображениях испортит модель, потому что его модель не будет знать, какие фотографии замаскированы для какого-либо отдельного пользователя, не говоря уже о сотнях миллионов, на которые они нацелены.

«Что касается миллиардов изображений, уже размещенных в Интернете, эти фотографии распространяются среди многих миллионов пользователей. Фотографии других людей не влияют на эффективность вашего «плаща», поэтому общее количество снимков не имеет значения. Со временем количество ваших замаскированных изображений превзойдет количество старых, и маскировка даст ожидаемый эффект».

Чтобы использовать Фоукс, пользователи просто применяют программу маскировки к фотографиям, прежде чем публиковать их на общедоступном сайте. В настоящее время инструмент является бесплатным и доступен на веб-сайте проекта для пользователей, знакомых с использованием интерфейса командной строки на своем компьютере. Команда также сделала его доступным в качестве программного обеспечения для операционных систем Mac и ПК и надеется, что платформы для обмена фотографиями или социальные сети могут предложить его в качестве опции для своих пользователей.

«Это по сути сбрасывает планку массового наблюдения до тех времен, когда модели распознавания лиц были задействованы в глубоком обучении. Это немного уравновешивает правила игры, чтобы не допустить, чтобы такие богатые ресурсами компании, как Clearview, действительно разрушали ситуацию», — сказал Чжао, профессор компьютерных наук Нойбауэра и эксперт по безопасности машинного обучения. «Если это станет интегрированным в более широкую социальную сеть или интернет-экосистему, это действительно может стать эффективным инструментом для противодействия подобным навязчивым алгоритмам».

Учитывая большой рынок программного обеспечения для распознавания лиц, команда ожидает, что разработчики моделей попытаются адаптироваться к маскирующей защите, предоставляемой Фоуксом. Но в долгосрочной перспективе эта стратегия обещает стать техническим препятствием, которое сделает распознавание лиц более сложным и дорогостоящим для компаний, чтобы эффективно выполнять их без согласия пользователей, возвращая выбор участия в руках общественности.

«Я думаю, что могут быть краткосрочные контрмеры, когда люди придумывают мелочи, чтобы сломать этот подход», — сказал Чжао. «Но в долгосрочной перспективе я считаю, что инструменты для модификации изображений, такие как «Фоукс», будут продолжать играть важную роль в защите нас от все более мощных систем машинного обучения».