Утилита Fawkes вносит в фото пиксельные изменения, которые незаметны для человеческого глаза, но приводят к формированию некорректных моделей, которые обычно используются для тренировки систем машинного обучения.
«Fawkes защитит вашу личность от систем распознавания лиц. Пиксель за пикселем», — утверждает издание ZDNet, ссылаясь на новую разработку лаборатории SAND при Чикагском университете, которая может искажать фотографии так, чтобы это было незаметно человеческому глазу, но достаточно критично для обучающихся алгоритмов систем распознавания лиц.
«Инструменты глубокого обучения и программы распознавания лиц проникли в нашу повседневную жизнь, — отмечает издание. — Использование этих технологий — от камер наблюдения, оснащенных трекерами лица, до фотометок в социальных сетях — теперь широко распространено, и часто имеет сомнительное применение».
Обработка фотографий предложенной утилитой перед публикацией в социальных сетях и других публичных площадках позволяет защитить пользователя от использования данных фотографий в качестве источника для обучения систем распознавания лиц, объясняет OpenNet. Предложенный алгоритм предоставляет защиту от 95% попыток распознавания лиц (для API распознавания Microsoft Azure, Amazon Rekognition и Face++ эффективность защиты составляет 100%).
Более того, даже если в будущем оригинальные, необработанные утилитой, фотографии будут использованы в модели, при обучении которой уже применялись искажённые варианты фотографий, уровень сбоев при распознавании сохраняется и составляет не менее 80%.
Метод основывается на феномене «состязательных примеров», суть которого в том, что несущественные изменения входных данных могут привести к кардинальным изменениям логики классификации. В настоящее время феномен «состязательных примеров» является одной из главных нерешённых проблем в системах машинного обучения. В будущем ожидается появление систем машинного обучения нового поколения, лишённых рассматриваемого недостатка, но эти системы потребуют значительных изменений в архитектуре и подходе к построению моделей.
Обработка фотографий сводится к добавлению в изображение комбинации пикселей (кластеров), которые воспринимаются алгоритмами глубинного машинного обучения как характерные для изображаемого объекта шаблоны и приводят к искажению признаков, применяемых для классификации. Подобные изменения не выделяются из общего набора и их чрезвычайно трудно обнаружить и удалить. Даже имея оригинальное и модифицированное изображения, проблематично определить, где оригинал, а где изменённая версия.
Подписывайтесь на нас в уже разблокированном Телеграме! Там мы публикуем свежие новости и аналитику в области защиты цифровых прав и недопустимости интернет-цензуры.
Вы всегда можете поддержать нашу деятельность. Пожертвования позволяют нам противостоять неадекватным законодательным инициативам и защитить пользователей от агрессивного правоприменения.
