Loading
Искусственный интеллект может распознать ваше лицо даже на пиксельном фото

Искусственный интеллект может распознать ваше лицо даже на пиксельном фото

Пикселизация долгое время была известным фиговым листом для прикрытия наших самых приватных частей в медиа изображениях. Размытые куски текста или затенённые лица и номерные знаки появляются в новостях, редактированных документах и Интернете. Техника не выдающаяся, но работала вполне хорошо, ведь люди не могут разглядеть искажённое изображение. Проблема, однако, в том, что люди больше не единственные мастера по распознаванию образов. Пока компьютерное зрение становится всё более устойчивым, оно начинает видеть то, что мы не можем.

Исследователи из Техасского университета в Остие и Университета Корнелла говорят, что обучили часть программного обеспечения, которая может подорвать конфиденциальность таких стандартных методов маскировки, как размытие и пикселизация. Она может прочитать или разглядеть любые скрытые части — от размытого номера дома до пикселизированного лица человека с заднего плана фото. И им для этого даже не надо кропотливо разрабатывать новые методы раскрытия изображений. Вместо этого они выяснили, что основной метод обучение машин — тренировка компьютера с набором данных для примера вместо программирования — легко поддаётся этому типу атаки.

«Техника, которую мы используем, очень стандартна для распознавания образов, что тревожит», — говорит один из автором программы Виталий Шматиков. Поскольку методы машинного обучения, используемые в исследованиях широко известны — до такой степени, что учебные пособия по ним доступны онлайн — Шматиков говорит, что негодяй с базовыми техническими навыками может использовать их для атак такого типа. Кроме того, более мощные методы распознавания лиц и объектов уже существуют и потенциально могут пойти дальше в борьбе с визуальным редактированием.

Искусственный интеллект может распознать ваше лицо даже на пиксельном фото

Исследователи смогли победить три технологии защиты приватности, начиная с фирменного инструмента размытия YouTube. YouTube позволяет загружающим видео размыть выбранные объекты и фигуры, но команда исследователей использовала свой метод атаки для опознания скрытых лиц на видео. В другом примере работы своего метода, исследователи атаковали пикселизацию. Для создания различных уровней пикселизации, они использовали свой собственный метод стандартной пикселизации, которую нашли в Photoshop и других подобных программах. И, наконец, они атаковали программу под названием Privacy Preserving Photo Sharing (P3), которая шифрует идентификационные данные в изображениях JPEG, так что люди не могут видеть целое изображение, в то время как другие данные видны и компьютер может проводить с файлом операции вроде сжатия.

Для своих атак, команда натренировала нейронные сети для распознавания изображений, загрузив в них данные из четырёх больших и хорошо известных наборов изображений. Чем больше слов, лиц и объектов «видели» нейронные сети, тем лучше справлялись с их распознанием. Когда они достигли примерно 90 % точности в распознавании схожих объектов из тренировочных наборов, исследователи «затемнили» изображения при помощи трёх разных инструментов и продолжили тренировки по интерпретации размытых и скрытых изображений  на основе знаний об оригиналах.

И, наконец, они использовали затемнённые изображения, которые нейронные сети ещё не видели, чтобы увидеть, удастся ли им идентифицировать лица, объекты и написанные от руки цифры. При некоторых наборах данных и маскировочных техниках нейронные сети достигали успеха в более, чем 80% случаев, и даже в 90%. В случае пикселизации самый низкий процент успеха был при наиболее пикселизированных изображениях. Но машины всё равно преуспевали с вероятностью от 50% до 75%. Самый низкий процент успеха — 17 — был получен при работе с набором лиц знаменитостей, обработанных в P3. Однако, по расчётам исследователей, если бы компьютеры давали случайные ответы при распознавании лиц, объектов и цифр, точные ответы получались бы с вероятностью от 0,2% до 10%. Так что сравнительно низкий процент успеха всё равно лучше, чем случайный выбор.

Даже если разработанному группой методу обучения машин не всегда удаётся проникнуть сквозь эффекты редактирования изображения, это всё равно серьёзный удар по размытие и затемнению, как методам приватности, считает Лоуренс Соул, исследователь машинного обучения из Калифорнийского университета в Сан-Диего. «Для победы над приватностью вам не обязательно достигать успеха в 99,9 % случаев, — говорит Сол.- Если вы можете распознать лицо или текст в 40-50% случаев, этого достаточно, чтобы сделать подобные методы сокрытия устаревшими».

Стоит отметить, что исследование не делает восстановление изображений с нуля и не может полностью восстановить изображение лиц и объектов, которые идентифицировало. Техника может найти что-то, только если знает, что искать — не обязательно точное изображение, но то, что она видела прежде, вроде определённого объекта или прежде идентифицированного лица человека. Например, на записи видеонаблюдения, сделанной на вокзале, она не сможет распознать каждого человека, если у всех будут размыты лица. Но есть вы подозреваете, что конкретный человек прошёл там в определённое время, программа может опознать этого человека в толпе даже при размытом видео. Сол отмечает, что дополнительным вызовом стала бы проверка нейронных сетей на затемнённых изображениях, собранных в широком спектре жизненных ситуаций, вместо стандартизированных изображений из существующих наборов. Но, основываясь на их текущих результатах, он утверждает, что и более практическое применение, вероятно, будет возможно.

Более важная цель исследователей — предупредить сообщества, связанные с конфиденциальностью и безопасностью, о том, что нельзя игнорировать прогресс в области машинного обучения как инструмента идентификации и сбора данных. Есть способы защиты от атак такого типа, вроде использования чёрных квадратов, которые обеспечивают полное скрытие, вместо искажения изображения, которое оставляет следы скрытого. А ещё лучше вырезать случайно выбранное изображение лица и скрывать им нужное лицо перед размытием, так что даже если размытие будет устранено, опознать личность человека всё равно не удастся. «Надеюсь, результатом этой работы станет то, что никто не сможет опубликовать технологию приватности и утверждать, что она безопасна, пока она не пройдёт подобный анализ», — говорит Шматиков. Закрывать нелепой чёрной каплей чьё-то лицо в видео — менее стандартный метод, чем пикселизация. Но скоро это может стать необходимым шагом, чтобы не дать куда более проницательному зрению, чем наше, проникнуть сквозь эти пиксели.

comments powered by HyperComments