一种新的软件工具– Fawkes –将您的图像隐藏起来,以欺骗面部识别算法
大型公司使用面部识别系统会对个人隐私产生严重影响。Fawkes是UChicago计算机科学家提供的免费工具,是一种反击的方法。
芝加哥大学研究人员设计的一种防止人脸识别软件的新工具。
无论我们是否知道,面部识别系统的迅速兴起已将这项技术置于我们日常生活的许多方面。当Facebook在诸如Clearview AI之类的企业中发现Facebook上的朋友变得不祥时,这似乎是无害的。ClearviewAI是一家未经社交媒体和互联网同意就对数十亿张图片进行面部识别系统训练的私人公司。
但是到目前为止,除了根本不公开共享照片之外,人们几乎没有保护措施来防止使用他们的图像。
芝加哥大学计算机科学系的一个新研究项目提供了强大的新保护机制。名为Fawkes的软件工具可以“伪装”照片,以欺骗支持面部识别的深度学习计算机模型,而人眼看不到明显的变化。如果有足够多的隐形照片在流通,则计算机观察者甚至无法从未经更改的图像中识别出一个人,从而保护了个人隐私免遭未经授权和恶意的入侵。该工具的目标是未经授权使用个人图像,并且对使用合法获得的图像(例如执法部门使用的图像)构建的模型没有影响。
三年级博士生,一年级博士生肖恩·山(Shawn Shan)联合负责人艾米丽·温格(Emily Wenger)说:“这是给予个人代理人的权利。”“我们丝毫没有幻想这将解决所有侵犯隐私的问题,并且可能同时存在技术和法律解决方案,以帮助减少对该技术的滥用。但是福克斯的目的是为小人提供一些反击的力量,因为目前还不存在这样的东西。”
“福克斯的目的是为个人提供一些反击的力量,因为目前还不存在这样的力量。”
博士生艾米丽·温格(Emily Wenger)
该技术基于这样一个事实,即机器“看到”图像的方式与人类不同。对于机器学习模型,图像只是代表每个像素的数字,这种称为神经网络的系统在数学上组织成用于区分对象或个体的特征。当给这些人提供足够多的不同照片时,这些模型可以使用这些独特功能在新照片中识别该人,这是一种用于安全系统,智能手机以及越来越多的执法,广告和其他有争议的应用程序的技术。
在Fawkes(以图画小说V的仇杀者中革命者使用的Guy Fawkes面具的名字命名)的帮助下,Wenger和Shan与合作者Zhang Jiayun,Li Huiying和UChicago教授Ben Zhao和Heather Zheng利用人与计算机感知之间的差异来保护隐私。该方法通过改变像素的一小部分来显着改变计算机“眼睛”对人的感知,从而污染了面部识别模型,从而用他人的身份标记了用户的真实照片。但是对于人类观察者而言,图像看起来没有变化。
研究作者的原始照片和伪装头像证明了Fawkes所做的修改是如何在破坏面部识别软件的同时对人类观看者不可见的。
在下个月将举行的USENIX安全研讨会上发表的一篇论文中,研究人员发现,该方法在阻止来自亚马逊,微软和其他公司的最新模型的识别方面几乎有100%的有效率。这组作者说,虽然它不能破坏已经接受过从互联网下载的未更改图像训练的现有模型,但发布隐藏的图像最终可以消除一个人的在线“足迹”,从而使未来的模型无法识别这种个体。
“在许多情况下,我们无法在线控制自己的所有图像;有些可以从公开来源发布,也可以由我们的朋友发布。” Shan说。“在这种情况下,当隐藏的图像数量超过未隐藏的图像数量时,Fawkes仍然成功。因此,对于已经在线拥有大量图像的用户而言,一种增强保护的方法是释放更多自己的图像,这些图像都是隐身的,以平衡比例。”
8月初,福克斯(Fawkes)登上《纽约时报》。但是,研究人员从文章中澄清了几点。截至8月3日,该工具已累计下载近100,000次,并且该团队已更新该软件,以防止本文所述的严重失真,部分原因是公共数据集中存在一些异常样本。
Zhao还回应了Clearview首席执行官Hoan Ton-的断言,鉴于该公司已经收集了数十亿张图像,因此这项技术生效已经为时过早,并且该公司可以使用Fawkes来改进其模型解密已更改图像的能力。
Zhao说:“福克斯基于中毒攻击。ClearviewCEO提出的建议类似于对抗训练,这对中毒攻击无效。在隐身图像上训练他的模型将破坏该模型,因为他的模型将不知道对于任何一个用户都隐匿了哪些照片,更不用说他们瞄准的亿万个照片。
“对于已经在线的数十亿张图片,这些照片分布在数百万用户中。他人的照片不会影响您的斗篷的功效,因此照片的总数无关紧要。随着时间的流逝,隐藏的图像将超过旧图像,并且隐藏将达到预期的效果。”
要使用Fawkes,用户只需将伪装软件应用于照片,然后再将其发布到公共站点即可。当前,该工具是免费的,对于熟悉使用计算机上的命令行界面的用户,可以在项目网站上使用。该团队还已将其作为Mac和PC操作系统的软件提供,并希望照片共享或社交媒体平台可以向用户提供此选项。
“它基本上重新设置了大规模监…视的标准,使运动场变得均匀一点。”
教授赵本
“它基本上将大规模监视的标准重置为深度学习前的面部识别模型时代。Neubauer的计算机科学教授,机器学习安全性专家Zhao表示:“这只是为了公平地竞争,以防止像Clearview这样的资源丰富的公司真正破坏事物。”“如果将其集成到更广泛的社交媒体或互联网生态系统中,它实际上可能是开始反击此类侵入性算法的有效工具。”
考虑到面部识别软件的巨大市场,该团队希望模型开发人员将尝试适应Fawkes提供的隐身保护。但是从长远来看,该策略有望作为技术障碍,使面部识别变得更加困难和昂贵,使公司在未经用户同意的情况下有效地执行面部识别,从而使选择权重新回到公众手中。
“我认为可能会有短期的对策,人们会想出一些小办法来打破这种方法,”赵说。“但是从长远来看,我相信像Fawkes这样的图像修改工具将继续在保护我们免受日益强大的机器学习系统的侵害中发挥重要作用。”