獨(dú)家 | 如何防止AI在自拍中識(shí)別出你的臉

作者：Will Douglas Heaven

翻譯：陳之炎

校對(duì)：歐陽(yáng)錦

將個(gè)人照片上傳到互聯(lián)網(wǎng)似乎是件很輕松的事，那么問(wèn)題來(lái)了，照片在互聯(lián)網(wǎng)上發(fā)布之后，誰(shuí)可以訪問(wèn)它們？如何處理它們？用哪些機(jī)器學(xué)習(xí)算法來(lái)訓(xùn)練它們？

Clearview公司已經(jīng)為美國(guó)執(zhí)法機(jī)構(gòu)提供了一個(gè)面部識(shí)別工具，利用這個(gè)工具訓(xùn)練了公共網(wǎng)絡(luò)上數(shù)百萬(wàn)張私人照片，這似乎只是一個(gè)開(kāi)始。任何擁有基本編碼技能的人都可以開(kāi)發(fā)面部識(shí)別軟件，這意味著從性騷擾、種族歧視、政治壓迫和宗教迫害等多個(gè)角度來(lái)看，這項(xiàng)技術(shù)比以往任何時(shí)候都更有可能被濫用。

許多人工智能研究人員正在推動(dòng)并開(kāi)發(fā)可以讓AI無(wú)法從個(gè)人數(shù)據(jù)中學(xué)習(xí)的方法。本周，最新的兩項(xiàng)報(bào)告將在人工智能會(huì)議ICLR上發(fā)表。

芝加哥大學(xué)的艾米麗·溫格說(shuō)“我不喜歡人們從我這拿走不屬于他們的東西，我想很多人也有類似的想法。” 去年夏天，溫格和她的同事們開(kāi)發(fā)出了最早的防AI工具。

數(shù)據(jù)中毒并不是件新鮮事。通過(guò)刪除公司的數(shù)據(jù)，或者用偽示例污染數(shù)據(jù)集，從而使得公司更難訓(xùn)練出精確的機(jī)器學(xué)習(xí)模型。但這些努力通常需要采取集體行動(dòng)，有數(shù)百萬(wàn)或成千上萬(wàn)的人參與，才能產(chǎn)生影響。而溫格新技術(shù)的獨(dú)到之處在于：可以通過(guò)一張人臉照片便能達(dá)到目的。

澳大利亞迪肯大學(xué)的丹尼爾·馬說(shuō)，“這項(xiàng)技術(shù)可以利用單個(gè)人的照片作為密鑰來(lái)鎖定數(shù)據(jù)，在人工智能時(shí)代，它是保護(hù)人們數(shù)字權(quán)利的新一線防御工具?！?/p>

隱匿于視野中

包括Fawkes在內(nèi)，目前大多數(shù)工具都采用了同樣的基本方法：對(duì)圖像進(jìn)行微小的改動(dòng)，這些改動(dòng)很難被人眼識(shí)別，但卻能騙過(guò)人工智能，使得人工智能錯(cuò)誤地識(shí)別出照片中的具體信息。這種技術(shù)非常接近于對(duì)抗性攻擊，輸入數(shù)據(jù)的微小變動(dòng)會(huì)迫使深度學(xué)習(xí)模型犯大錯(cuò)。

給Fawkes輸入一組自拍照，它就會(huì)給圖像添加像素級(jí)的擾動(dòng)，從而阻止最先進(jìn)的面部識(shí)別系統(tǒng)識(shí)別照片中是誰(shuí)。與先前的方法不同，它沒(méi)有對(duì)圖像做明顯的改動(dòng)。

溫格和她的同事們?cè)谝恍V泛使用的商業(yè)面部識(shí)別系統(tǒng)上測(cè)試了這一工具，包括亞馬遜的AWS識(shí)別系統(tǒng)、微軟的Azure和中國(guó)Megvii技術(shù)公司開(kāi)發(fā)的Face++系統(tǒng)。在一個(gè)包含50張圖像的數(shù)據(jù)集的小實(shí)驗(yàn)中，F(xiàn)awkes對(duì)所有圖像都100%有效，經(jīng)過(guò)調(diào)整的人圖像訓(xùn)練的模型無(wú)法在新圖像中識(shí)別這些人的圖像。篡改后的訓(xùn)練圖像阻止了這些工具準(zhǔn)確表達(dá)出人的表情。

Fawkes項(xiàng)目網(wǎng)站上已經(jīng)有了近50萬(wàn)次的下載量。其中的一個(gè)用戶還搭建了一個(gè)在線版本，使人們更容易使用（盡管溫格不會(huì)對(duì)第三方使用代碼做出保證，并警告說(shuō)：“您并不知道處理數(shù)據(jù)時(shí)發(fā)生了什么?！保馗裾f(shuō)，目前還沒(méi)有手機(jī)應(yīng)用程序，但也無(wú)法阻止有人制作一個(gè)手機(jī)應(yīng)用程序。

Fawkes會(huì)阻止一個(gè)新的面部識(shí)別系統(tǒng)識(shí)別你——下一個(gè)是Clearview。但它無(wú)法破壞在未保護(hù)圖像上已經(jīng)訓(xùn)練好的現(xiàn)有系統(tǒng)。然而，這項(xiàng)技術(shù)一直在不斷改進(jìn)。溫格認(rèn)為，由瓦萊里亞·切雷帕諾瓦和她在馬里蘭大學(xué)的同事們開(kāi)發(fā)的一個(gè)工具，很可能會(huì)解決上述問(wèn)題。

該工具名為L(zhǎng)owKey，通過(guò)基于一種更強(qiáng)大的對(duì)抗性攻擊，對(duì)圖像應(yīng)用擾動(dòng)實(shí)現(xiàn)對(duì)Fawkes的擴(kuò)展，騙過(guò)了預(yù)先訓(xùn)練好的商業(yè)模型。和Fawkes一樣，也可以在網(wǎng)上找到LowKey。

馬和他的同事們開(kāi)發(fā)出了更為強(qiáng)大的工具，將圖像變成所謂的無(wú)法學(xué)習(xí)的示例，有效地讓人工智能完全忽略你的自拍。溫格說(shuō)：“我認(rèn)為這個(gè)技術(shù)非常棒，F(xiàn)awkes可以騙過(guò)人工智能模型，讓訓(xùn)練得出錯(cuò)誤的結(jié)果，而這個(gè)工具使得訓(xùn)練模型對(duì)你一無(wú)所知。”

圖中上面三張照片是從網(wǎng)上下載的圖片，將它們變成了下面三張無(wú)法學(xué)習(xí)的示例，面部識(shí)別系統(tǒng)忽略了它們的存在

與Fawkes不同的是，無(wú)法學(xué)習(xí)的示例并不是基于對(duì)抗性攻擊。馬的團(tuán)隊(duì)沒(méi)有引入對(duì)圖像的改變，迫使人工智能犯錯(cuò)誤，而是增加了微小的變動(dòng)，使得人工智能在訓(xùn)練過(guò)程中忽略掉它。當(dāng)稍后顯示圖像時(shí)，它對(duì)圖像中內(nèi)容的評(píng)估并不比隨機(jī)猜測(cè)出的結(jié)果要好多少。

實(shí)驗(yàn)證明，無(wú)法學(xué)習(xí)的示例比對(duì)抗性攻擊更為有效，因?yàn)樗鼈儫o(wú)法實(shí)現(xiàn)逆向訓(xùn)練。人工智能看到示例的對(duì)抗性越強(qiáng)，就越容易識(shí)別出它們，但是馬和他的同事們從根本上便阻止了人工智能進(jìn)行圖像訓(xùn)練。

溫格已經(jīng)投入了一場(chǎng)正在進(jìn)行的新戰(zhàn)斗，她的團(tuán)隊(duì)最近注意到，微軟Azure的面部識(shí)別服務(wù)不再被他們的某些圖像所欺騙。她說(shuō)：“對(duì)于我們生成的隱藏圖像，它的魯棒性突然變得非常強(qiáng)大。不知道其中發(fā)生了什么事?！?/p>

微軟可能已經(jīng)改變了算法，或者人工智能可能已經(jīng)訓(xùn)練了足夠多的Fawkes影像，已經(jīng)學(xué)會(huì)了如何識(shí)別它們。無(wú)論如何，溫格的團(tuán)隊(duì)上周發(fā)布了工具的更新版本，再次對(duì)抗Azure?！斑@是另一場(chǎng)貓鼠軍備競(jìng)賽?！彼f(shuō)。

對(duì)溫格來(lái)說(shuō)，這是一個(gè)關(guān)于互聯(lián)網(wǎng)的故事。她說(shuō)：“像Clearview這樣的公司正在利用免費(fèi)獲得的數(shù)據(jù)，做他們想做的事情。”

從長(zhǎng)遠(yuǎn)來(lái)看，監(jiān)管可能會(huì)有幫助，但這并不能阻止公司利用漏洞。她說(shuō)：“法律上可以接受的東西和人們真正想要的東西之間總是會(huì)有脫節(jié)。像Fawkes這樣的工具正是填補(bǔ)了這個(gè)空白。”

“讓我們賦予大眾一些他們以前沒(méi)有的權(quán)力。” 溫格說(shuō)。

原文標(biāo)題：

How to stop AI from recognizing your face in selfies

原文鏈接：

https://www.technologyreview.com/2021/05/05/1024613/stop-ai-recognizing-your-face-selfies-machine-learning-facial-recognition-clearview/