Инженеры из университета в Чикаго создали сервис для защиты фотографий от распознавания лиц — он уже «обманул» Amazon Статьи редакции
Они рассчитывают, что пользователи массово начнут менять фотографии перед загрузкой в сеть, чтобы «отравить» базы данных систем распознавания.
Компьютерные инженеры из Чикагского университета разработали инструмент Fawkes, который маскирует фотографии для защиты от систем распознавания лиц, сообщает The New York Times.
Для этого Fawkes меняет — или «маскирует», как говорят создатели инструмента — изображение на уровне пикселей, объясняет издание. За месяц программное обеспечение скачали больше 50 тысяч раз с сайта для разработчиков.
В ходе испытаний исследователи смогли обмануть системы распознавания лиц от Amazon, Microsoft и китайской технологической компании Megvii. Однако изменения видны невооружённым глазом, утверждает The New York Times.
Сейчас исследователи работают над бесплатной версией для пользователей без навыков программирования, пишет издание.
Приложение предназначено для широкого пользования, чтобы «отравить точность» баз данных, собираемых системами распознавания лиц в интернете, говорят создатели.
Исследователи рассчитывают, что в идеале люди начнут маскировать все загружаемые в интернет изображения. Тогда компании вроде Clearview не смогут создавать работоспособную базу данных, потому что реальная фотография человека не будет соответствовать образцу в «отравленной» базе.
«Наша цель — заставить Clearview уйти», — заявил Бен Чжао, профессор информатики в Чикагском университете.
Стартап Clearview AI собирает «миллиарды» фотографий в интернете для создания базы, которую используют частные компании, полиция и другие организации, напоминает издание.
Прекрасно
Новый софт, который маскирует незначительные признаки, но оставляет важные признаки, по которым люди узнают людей.
Он прекрасно пополнит базы для обучения ML моделей, чтобы они стали еще лучше работать.
Нет. Одна из фич таких вот решений (это, к слову, не первое) в том, что полученные результаты непригодны для обучения моделей. Можно хоть миллион модифицированных вариантов одного человека засунуть и всё равно машина не сможет узнавать этого человека на миллион первом варианте. В этом и прелесть.
То есть изменённые варианты просто непригодны для обучения. Более того, они будут только ухудшать детект! То есть будут _отравлять_ датасет.
ОДНАКО! Нужно понимать, что речь идёт именно о распознавании конкретных людей. Если же просто сравнивать оригинальное изображение и найти его отравленную копию (как тот же VisiPics) — тут проблем никаких не будет. Но такой задачи и не стоит.
ML/DL сейчас достигло уже такого уровня развития, когда невозможно гарантировать, что алгоритмы справятся с распознованием лиц хуже людей. Если ты нашел общие признаки и распознал одного человека на двух фото, это сможет сделать и модель. Без вариантов.
Поэтому работы вроде описанной выше могут быть полезны лишь в частной практике, когда относительно небольшое число людей использует его, чтобы скрыть себя в более крупной базе пользователей от вполне конкретного сервиса. Панацеей от алгоритмов распознавания это не станет.
Интернет сближает людей, OSINT делает информацию еще доступнее. Поэтому это скорее выбор человека между полной публичностью и полной скрытностью
Именно _сейчас_ проблема, которую эксплуатирует решение из статьи, относится к фундаментальным. В будущем ждём новые подходы, лишённые этой проблемы, но _сейчас_, в текущем развитии (а также все десятилетия до сейчас), это решение является серебряной пулей.
Не является и не может являться серебрянной пулей. Готов поспорить, что обучение моделей распознавания на датасете со скрытыми фотографиями даже без изменения конфигурации модели даст хороший результат. Характерные признаки лица по которым можно определить человека остаются - все остальное лишь шум, который нужно научиться фильтровать. И нет никаких фундаментальных оснований у тезиса, что такое решение возможно будет применять как "серебрянную пулю".
Фундаментальное основание — это сам принцип работы.
Ещё раз. Нет задачи скрыть человека на фотографии. Даже ваша тупая мыльница из начала двухтысячных справится с этим в реальном времени.
Здесь речь о том, что в найденном человеке не удаётся распознать конкретного человека. Нельзя распознать, что это конкретно Вася. Модель обучена на огномном количестве изображений Васи, но не может понять, что это Вася, когда натыкается на cloacked фото. А если начать обучать её на созданных cloacked, то это сильно ухудшит работу модели и она начнёт видеть Васю в фотографиях жопы её создателя ("отравлена").
Когда придумают другие принципы работы, этот способ умрёт. Но на сегодня в публичном доступе нет иного подхода.
Принцип работы - не может быть фундаментальным основанием в данном случае😂
Ты, как человек, все еще идентифицируешь человека. Но почему-то считаешь, что модель не сможет. Почему ты можешь, а она нет? Именно на этот вопрос должно дать ответ то самое фундаментальное основание) ведь ты не обращаешь внимания на те пикселы, значит есть возможность отфильтровать эти пикселы еще до входа в саму модель. Я более чем уверен, что достаточно будет загрубить качество фото, уменьшив количество цветов и разрешение и этот метод уже значительно потеряет в эффективности.
К слову, на этот вопрос нет ответа в абстракте той статьи, скорее всего и не будет в самой статье. А сам абстракт, да, очень смелый)
Потому что мы абсолютно по-разному считываем и обрабатываем данные, вот почему.
Как считываются данные - несущественно. В объективном мире есть объекта А (пара фотографий), обработчики B1(человек) и B2(модель) и результаты C1 и С2.
Проводим 2 эксперимента A>B1>C1 и A>B2>C2, в которых оба обработчика способны получить информацию в полном виде или с некоторыми шумами/искажениями.
Достоверно известно, что обработчик 1 может получить положительный результат без предварительного обучения вообще. Тогда почему обработчик 2 не может?
Если разницу в функционале или природе обработчиков вы считаете достаточным основанием, то вы просто не верите в МЛ/ДЛ вообще, потому что задача распознования изображения ничем не отличается от приведенной выше. И она решена.
Ну а если углубиться в основы работы различных алгоритмов МЛ/ДЛ, то станет понятно, что они как-бы и созданы для решения таких нетривиальных задач.
Важно то, что восприятие нейронных сетей не равно человеческому. Возможно подобрать рандомную картинку, которую сеть будет воспринимать как что-то конкретное с большой вероятностью, но что для человека будет выглядеть белым шумом.
Но если вы говорите глобально с заделом на далекое будущее, то вопросов нет