獨家 | 如何防止AI在自拍中識別出你的臉

作者：Will Douglas Heaven

翻譯：陳之炎

校對：歐陽錦

將個人照片上傳到互聯網似乎是件很輕松的事，那么問題來了，照片在互聯網上發(fā)布之后，誰可以訪問它們？如何處理它們？用哪些機器學習算法來訓練它們？

Clearview公司已經為美國執(zhí)法機構提供了一個面部識別工具，利用這個工具訓練了公共網絡上數百萬張私人照片，這似乎只是一個開始。任何擁有基本編碼技能的人都可以開發(fā)面部識別軟件，這意味著從性騷擾、種族歧視、政治壓迫和宗教迫害等多個角度來看，這項技術比以往任何時候都更有可能被濫用。

許多人工智能研究人員正在推動并開發(fā)可以讓AI無法從個人數據中學習的方法。本周，最新的兩項報告將在人工智能會議ICLR上發(fā)表。

芝加哥大學的艾米麗·溫格說“我不喜歡人們從我這拿走不屬于他們的東西，我想很多人也有類似的想法。” 去年夏天，溫格和她的同事們開發(fā)出了最早的防AI工具。

數據中毒并不是件新鮮事。通過刪除公司的數據，或者用偽示例污染數據集，從而使得公司更難訓練出精確的機器學習模型。但這些努力通常需要采取集體行動，有數百萬或成千上萬的人參與，才能產生影響。而溫格新技術的獨到之處在于：可以通過一張人臉照片便能達到目的。

澳大利亞迪肯大學的丹尼爾·馬說，“這項技術可以利用單個人的照片作為密鑰來鎖定數據，在人工智能時代，它是保護人們數字權利的新一線防御工具?！?/p>

隱匿于視野中

包括Fawkes在內，目前大多數工具都采用了同樣的基本方法：對圖像進行微小的改動，這些改動很難被人眼識別，但卻能騙過人工智能，使得人工智能錯誤地識別出照片中的具體信息。這種技術非常接近于對抗性攻擊，輸入數據的微小變動會迫使深度學習模型犯大錯。

給Fawkes輸入一組自拍照，它就會給圖像添加像素級的擾動，從而阻止最先進的面部識別系統(tǒng)識別照片中是誰。與先前的方法不同，它沒有對圖像做明顯的改動。

溫格和她的同事們在一些廣泛使用的商業(yè)面部識別系統(tǒng)上測試了這一工具，包括亞馬遜的AWS識別系統(tǒng)、微軟的Azure和中國Megvii技術公司開發(fā)的Face++系統(tǒng)。在一個包含50張圖像的數據集的小實驗中，Fawkes對所有圖像都100%有效，經過調整的人圖像訓練的模型無法在新圖像中識別這些人的圖像。篡改后的訓練圖像阻止了這些工具準確表達出人的表情。

Fawkes項目網站上已經有了近50萬次的下載量。其中的一個用戶還搭建了一個在線版本，使人們更容易使用（盡管溫格不會對第三方使用代碼做出保證，并警告說：“您并不知道處理數據時發(fā)生了什么?！保?。溫格說，目前還沒有手機應用程序，但也無法阻止有人制作一個手機應用程序。

Fawkes會阻止一個新的面部識別系統(tǒng)識別你——下一個是Clearview。但它無法破壞在未保護圖像上已經訓練好的現有系統(tǒng)。然而，這項技術一直在不斷改進。溫格認為，由瓦萊里亞·切雷帕諾瓦和她在馬里蘭大學的同事們開發(fā)的一個工具，很可能會解決上述問題。

該工具名為LowKey，通過基于一種更強大的對抗性攻擊，對圖像應用擾動實現對Fawkes的擴展，騙過了預先訓練好的商業(yè)模型。和Fawkes一樣，也可以在網上找到LowKey。

馬和他的同事們開發(fā)出了更為強大的工具，將圖像變成所謂的無法學習的示例，有效地讓人工智能完全忽略你的自拍。溫格說：“我認為這個技術非常棒，Fawkes可以騙過人工智能模型，讓訓練得出錯誤的結果，而這個工具使得訓練模型對你一無所知?！?/p>

圖中上面三張照片是從網上下載的圖片，將它們變成了下面三張無法學習的示例，面部識別系統(tǒng)忽略了它們的存在

與Fawkes不同的是，無法學習的示例并不是基于對抗性攻擊。馬的團隊沒有引入對圖像的改變，迫使人工智能犯錯誤，而是增加了微小的變動，使得人工智能在訓練過程中忽略掉它。當稍后顯示圖像時，它對圖像中內容的評估并不比隨機猜測出的結果要好多少。

實驗證明，無法學習的示例比對抗性攻擊更為有效，因為它們無法實現逆向訓練。人工智能看到示例的對抗性越強，就越容易識別出它們，但是馬和他的同事們從根本上便阻止了人工智能進行圖像訓練。

溫格已經投入了一場正在進行的新戰(zhàn)斗，她的團隊最近注意到，微軟Azure的面部識別服務不再被他們的某些圖像所欺騙。她說：“對于我們生成的隱藏圖像，它的魯棒性突然變得非常強大。不知道其中發(fā)生了什么事?！?/p>

微軟可能已經改變了算法，或者人工智能可能已經訓練了足夠多的Fawkes影像，已經學會了如何識別它們。無論如何，溫格的團隊上周發(fā)布了工具的更新版本，再次對抗Azure?！斑@是另一場貓鼠軍備競賽。”她說。

對溫格來說，這是一個關于互聯網的故事。她說：“像Clearview這樣的公司正在利用免費獲得的數據，做他們想做的事情?！?/p>

從長遠來看，監(jiān)管可能會有幫助，但這并不能阻止公司利用漏洞。她說：“法律上可以接受的東西和人們真正想要的東西之間總是會有脫節(jié)。像Fawkes這樣的工具正是填補了這個空白?！?/p>

“讓我們賦予大眾一些他們以前沒有的權力?！?溫格說。

原文標題：

How to stop AI from recognizing your face in selfies

原文鏈接：

https://www.technologyreview.com/2021/05/05/1024613/stop-ai-recognizing-your-face-selfies-machine-learning-facial-recognition-clearview/