一個(gè)相片「隱身衣」,讓微軟曠視人臉辨認(rèn)系統(tǒng)100%失靈|開源 |
發(fā)布時(shí)間:2020-07-28 文章來(lái)源:本站 瀏覽次數(shù):3370 |
左圖,右圖,你能看出區(qū)別嗎?
其實(shí),算法現(xiàn)已悄悄給右邊的相片加上了細(xì)小的修正。 但便是這樣肉眼底子看不出來(lái)的擾動(dòng),就能100%騙過來(lái)自微軟、亞馬遜、曠視——全球最先進(jìn)的人臉辨認(rèn)模型!
所以含義安在? 這代表著你再也不用憂慮po在網(wǎng)上的相片被某些軟件扒得干干凈凈,打包、分類,幾毛錢一整份賣掉喂AI了。 這便是來(lái)自芝加哥大學(xué)的最新研討:給相片加上一點(diǎn)肉眼看不出來(lái)的修正,就能讓你的臉成功「隱形」。 如此一來(lái),即便你在網(wǎng)絡(luò)上的相片被非法抓取,用這些數(shù)據(jù)練習(xí)出來(lái)的人臉模型,也無(wú)法真正成功辨認(rèn)你的臉。 給相片穿上「隱身衣」 這項(xiàng)研討的目的,是協(xié)助網(wǎng)友們?cè)诠蚕碜约旱南嗥囊黄,還能有效維護(hù)自己的隱私。 因此,「隱身衣」自身也得「隱形」,防止對(duì)相片的視覺作用產(chǎn)生影響。 也便是說(shuō),這件「隱身衣」,其實(shí)是對(duì)相片進(jìn)行像素等級(jí)的細(xì)小修正,以遮蓋AI的審視。 其實(shí),關(guān)于深度神經(jīng)網(wǎng)絡(luò)而言,一些帶有特定標(biāo)簽的細(xì)小擾動(dòng),就可以改動(dòng)模型的「認(rèn)知」。 比如,在圖畫里加上一點(diǎn)噪聲,熊貓就變成了長(zhǎng)臂猿:
Fawkes便是使用了這樣的特性。 用 x 指代原始圖片,xT為另一種類型/其他人臉相片,φ 則為人臉辨認(rèn)模型的特征提取器。
具體而言,F(xiàn)awkes是這樣規(guī)劃的: 第一步:挑選方針類型 T 指定用戶 U,F(xiàn)awkes的輸入為用戶 U 的相片調(diào)集,記為 XU。 從一個(gè)包括有許多特定分類標(biāo)簽的揭露人臉數(shù)據(jù)集中,隨機(jī)選取 K 個(gè)候選方針類型機(jī)器圖畫。 使用特征提取器 φ 計(jì)算每個(gè)類 k=1…K 的特征空間的中心點(diǎn),記為 Ck。 然后,F(xiàn)awkes會(huì)在 K 個(gè)候選調(diào)集中,選取特征表明中心點(diǎn)與 XU 中所有圖畫的特征表明差異最大的類,作為方針類型 T。 第二步:計(jì)算每張圖畫的「隱身衣」 隨機(jī)選取一幅 T 中的圖畫,為 x 計(jì)算出「隱身衣」δ(x, xT) ,并按照公式進(jìn)行優(yōu)化。
其間 |δ(x, xT)| < ρ。 研討人員選用DDSIM(Structural Dis-Similarity Index)方法。在此基礎(chǔ)上進(jìn)行隱身衣的生成,能保證隱死后的圖畫與原圖在視覺作用上高度一致。
實(shí)驗(yàn)結(jié)果表明,無(wú)論人臉辨認(rèn)模型被練習(xí)得多么刁鉆,F(xiàn)awkes都能提供95%以上有效防護(hù)率,保證用戶的臉不被辨認(rèn)。 即便有一些不小心走漏的未遮擋相片被參加人臉辨認(rèn)模型的練習(xí)集,通過進(jìn)一步的擴(kuò)展規(guī)劃,F(xiàn)awkes也可以提供80%以上的防辨認(rèn)成功率。
在Microsoft Azure Face API、Amazon Rekognition和曠視Face Search API這幾個(gè)最先進(jìn)的人臉辨認(rèn)服務(wù)面前,F(xiàn)awkes的「隱身」作用則達(dá)到了100%。
現(xiàn)在,F(xiàn)awkes已開源,Mac、Windows和Linux都可以使用。 裝置簡(jiǎn)易便利 這兒以Mac系統(tǒng)為例,簡(jiǎn)單介紹一下軟件的使用方法。使用的筆記本是MacBook Air,1.1GHz雙核Intel Core i3的處理器。 首先,咱們從GitHub上下載壓縮裝置包,并進(jìn)行解壓。
接下來(lái),把想要修正的所有相片放入一個(gè)文件夾里,并記住途徑。 以桌面上的一個(gè)名為test_person的圖片文件夾為例,里邊咱們放了三張相片,其間一張圖片包括兩個(gè)人。 這兒的圖片途徑是~/Desktop/test_person,根據(jù)你的圖片保存位置來(lái)確認(rèn)。
接下來(lái),打開啟動(dòng)臺(tái)中的終端,進(jìn)入壓縮包地點(diǎn)的文件夾。 注意,假如MacOS是Catalina的話,需要先修正一下權(quán)限,以管理員身份運(yùn)轉(zhuǎn),sudo spctl —master-disable就可以了。 這兒咱們的壓縮包直接放在下載的文件夾里,直接cd downloads就行。 進(jìn)入下載文件夾后,輸入./protection -d 文件途徑(文件途徑是圖片文件夾地點(diǎn)的位置,這兒輸入~/Desktop/test_person),運(yùn)轉(zhuǎn)生成圖片的「隱身衣」。 嗯?不錯(cuò),看起來(lái)竟然能辨認(rèn)一張圖中的2個(gè)人臉。
緩慢地運(yùn)轉(zhuǎn)…… 據(jù)作者介紹說(shuō),生成一張「隱身衣」的速度平均在40秒左右,速度仍是比較快的。 假如電腦裝備夠好,應(yīng)該還能再快點(diǎn)。 不過,雙核的就不奢求了…咱們耐心地等一下。
從時(shí)間看來(lái),處理速度還算可以接受。 Done!
圖中來(lái)看,生成3張圖片的「隱身衣」,電腦用了大約7分鐘(一定是我的電腦太慢了)。 來(lái)看看生成的結(jié)果。
可以看見,文件夾中的3張圖片,都生成了帶有_low_cloaked的后綴名的圖片。 雖然介紹里說(shuō),生成的后綴是_mid_cloaked的圖片,不過軟件提供的形式有「low」、「mid」、「high」、「ultra」、「custom」幾種,所以不同的形式會(huì)有不同的后綴名。 以川普為例,來(lái)看看實(shí)際作用。
兩張圖片幾乎沒有不同,并沒有變丑,川普臉上的皺褶看起來(lái)還光滑了一點(diǎn)。 這樣,咱們就能放心地將通過處理后的人臉相片放到網(wǎng)上了。 即便被某些不懷好意的有心之人拿去使用,被盜用的數(shù)據(jù)也并不是咱們的人臉數(shù)據(jù),不用再憂慮隱私被走漏的問題。 不僅如此,這個(gè)軟件還能「補(bǔ)救」一下你在交際網(wǎng)站上曬出的各種人臉數(shù)據(jù)。 例如,你曾經(jīng)是一名沖浪達(dá)人,之前會(huì)將很多的生活照po到交際網(wǎng)站上—— 相片可能現(xiàn)已被軟件扒得干干凈凈了…… 不用憂慮。 假如放上這些通過處理后的圖片,這些主動(dòng)扒圖的人臉辨認(rèn)模型會(huì)想要增加更多的練習(xí)數(shù)據(jù),以進(jìn)步準(zhǔn)確性。 這時(shí)候,穿上「隱身衣」圖片在AI看來(lái)甚至「作用更好」,就會(huì)將原始圖畫作為異常值放棄。 華人一作
論文的一作是華人學(xué)生單思雄,高中畢業(yè)于北京十一校園,現(xiàn)在剛拿到了芝加哥大學(xué)的學(xué)士學(xué)位,將于9月份入學(xué)攻讀博士學(xué)位,師從趙燕斌教授和Heather Zheng教授。 作為芝加哥大學(xué)SAND Lab實(shí)驗(yàn)室的一員,他的研討主要側(cè)重于機(jī)器學(xué)習(xí)和安全的交互,像如何使用不被察覺的細(xì)微數(shù)據(jù)擾動(dòng),去維護(hù)用戶的隱私。
從單同學(xué)的推特來(lái)看,他一直致力于在這個(gè)「透明」的世界中,為咱們爭(zhēng)奪一點(diǎn)僅存的隱私。
論文的一起一作Emily Wenger同樣來(lái)自芝加哥大學(xué)SAND Lab實(shí)驗(yàn)室,正在攻讀CS博士,研討方向是機(jī)器學(xué)習(xí)與隱私的交互,現(xiàn)在正在研討神經(jīng)網(wǎng)絡(luò)的缺點(diǎn)、局限性和可能對(duì)隱私造成的影響。 |
|