現(xiàn)在，越來越多的工具可以用來防止面部識(shí)別系統(tǒng)對(duì)私人照片的訓(xùn)練

將個(gè)人照片上傳到互聯(lián)網(wǎng)似乎是件很輕松的事，那么問題來了，照片在互聯(lián)網(wǎng)上發(fā)布之后，誰可以訪問它們?如何處理它們?用哪些機(jī)器學(xué)習(xí)算法來訓(xùn)練它們?

[[420027]]

Clearview公司已經(jīng)為美國執(zhí)法機(jī)構(gòu)提供了一個(gè)面部識(shí)別工具，利用這個(gè)工具訓(xùn)練了公共網(wǎng)絡(luò)上數(shù)百萬張私人照片，這似乎只是一個(gè)開始。任何擁有基本編碼技能的人都可以開發(fā)面部識(shí)別軟件，這意味著從性騷擾、種族歧視、政治壓迫和宗教迫害等多個(gè)角度來看，這項(xiàng)技術(shù)比以往任何時(shí)候都更有可能被濫用。

許多人工智能研究人員正在推動(dòng)并開發(fā)讓AI無法從個(gè)人數(shù)據(jù)中學(xué)習(xí)的方法。本周，最新的兩項(xiàng)報(bào)告將在人工智能會(huì)議ICLR上發(fā)表。

芝加哥大學(xué)的艾米麗·溫格說“我不喜歡人們從我這拿走不屬于他們的東西，我想很多人也有類似的想法。” 去年夏天，溫格和她的同事們開發(fā)出了最早的防AI工具。

數(shù)據(jù)中毒并不是件新鮮事。通過刪除公司的數(shù)據(jù)，或者用偽示例污染數(shù)據(jù)集，從而使得公司更難訓(xùn)練出精確的機(jī)器學(xué)習(xí)模型。但這些努力通常需要采取集體行動(dòng)，有數(shù)百萬或成千上萬的人參與，才能產(chǎn)生影響。溫格新技術(shù)的獨(dú)到之處在于：可以通過一張人臉照片便能達(dá)到目的。

澳大利亞迪肯大學(xué)的丹尼爾·馬說，“這項(xiàng)技術(shù)可以利用單個(gè)人的照片作為密鑰來鎖定數(shù)據(jù)，在人工智能時(shí)代，它是保護(hù)人們數(shù)字權(quán)利的新一線防御工具。”

隱匿于視野中

包括Fawke在內(nèi)，目前大多數(shù)工具都采用了同樣的基本方法：對(duì)圖像進(jìn)行微小的改動(dòng)，這些改動(dòng)很難被人眼識(shí)別，但卻能騙過人工智能，使得人工智能錯(cuò)誤地識(shí)別出照片中的具體信息。這種技術(shù)非常接近于對(duì)抗性攻擊，輸入數(shù)據(jù)的微小變動(dòng)會(huì)迫使深度學(xué)習(xí)模型犯大錯(cuò)。

給Fawkes輸入一組自拍照，它就會(huì)給圖像添加像素級(jí)的擾動(dòng)，從而阻止最先進(jìn)的面部識(shí)別系統(tǒng)識(shí)別照片中是誰。與先前的方法不同，它沒有對(duì)圖像做明顯的改動(dòng)。

溫格和她的同事們在一些廣泛使用的商業(yè)面部識(shí)別系統(tǒng)上測試了這一工具，包括亞馬遜的AWS識(shí)別系統(tǒng)、微軟的Azure和中國Megvii技術(shù)公司開發(fā)的Face++系統(tǒng)。在一個(gè)包含50張圖像的數(shù)據(jù)集的小實(shí)驗(yàn)中，F(xiàn)awkes對(duì)所有圖像都100%有效，經(jīng)過調(diào)整的人圖像訓(xùn)練的模型無法在新圖像中識(shí)別這些人的圖像。篡改后的訓(xùn)練圖像阻止了這些工具準(zhǔn)確表達(dá)出人的表情。

Fawkes項(xiàng)目網(wǎng)站上已經(jīng)有了近50萬次的下載量。其中的一個(gè)用戶還搭建了一個(gè)在線版本，使人們更容易使用(盡管溫格不會(huì)對(duì)第三方使用代碼做出保證，并警告說：“您并不知道處理數(shù)據(jù)時(shí)發(fā)生了什么。”)。目前還沒有手機(jī)應(yīng)用程序，但也無法阻止有人制作一個(gè)手機(jī)應(yīng)用程序，溫格說。

Fawkes會(huì)阻止一個(gè)新的面部識(shí)別系統(tǒng)識(shí)別你——下一個(gè)是Clearview。但它無法破壞在未保護(hù)圖像上已經(jīng)訓(xùn)練好的現(xiàn)有系統(tǒng)。然而，這項(xiàng)技術(shù)一直在不斷改進(jìn)。溫格認(rèn)為，由瓦萊里亞·切雷帕諾瓦和她在馬里蘭大學(xué)的同事們開發(fā)的一個(gè)工具，很可能會(huì)解決上述問題。

該工具名為LowKey，通過基于一種更強(qiáng)大的對(duì)抗性攻擊，對(duì)圖像應(yīng)用擾動(dòng)實(shí)現(xiàn)對(duì)Fawkes的擴(kuò)展，騙過了預(yù)先訓(xùn)練好的商業(yè)模型。和Fawkes一樣，也可以在網(wǎng)上找到LowKey。

馬和他的同事們開發(fā)出了更為強(qiáng)大的工具，將圖像變成所謂的無法學(xué)習(xí)的示例，有效地讓人工智能完全忽略你的自拍。溫格說：“我認(rèn)為這非常棒，F(xiàn)awkes可以騙過人工智能模型，讓訓(xùn)練得出錯(cuò)誤的結(jié)果，而這個(gè)工具使得訓(xùn)練模型對(duì)你一無所知。”

圖中上面三張照片是從網(wǎng)上下載的圖片，將它們變成了下面三張無法學(xué)習(xí)的示例，面部識(shí)別系統(tǒng)忽略了它們的存在。

與Fawkes不同的是，無法學(xué)習(xí)的示例并不是基于對(duì)抗性攻擊。馬的團(tuán)隊(duì)沒有引入對(duì)圖像的改變，迫使人工智能犯錯(cuò)誤，而是增加了微小的變動(dòng)，使得人工智能在訓(xùn)練過程中忽略掉它。當(dāng)稍后顯示圖像時(shí)，它對(duì)圖像中內(nèi)容的評(píng)估并不比隨機(jī)猜測出的結(jié)果要好多少。

實(shí)驗(yàn)證明，無法學(xué)習(xí)的示例比對(duì)抗性攻擊更為有效，因?yàn)樗鼈儫o法實(shí)現(xiàn)逆向訓(xùn)練。人工智能看到示例的對(duì)抗性越強(qiáng)，就越容易識(shí)別出它們，但是馬和他的同事們從根本上便阻止了人工智能進(jìn)行圖像訓(xùn)練。

溫格已經(jīng)投入了一場正在進(jìn)行的新戰(zhàn)斗，她的團(tuán)隊(duì)最近注意到，微軟Azure的面部識(shí)別服務(wù)不再被他們的某些圖像所欺騙。她說：“對(duì)于我們生成的隱藏圖像，它的魯棒性突然變得非常強(qiáng)大。不知道其中發(fā)生了什么事。”

微軟可能已經(jīng)改變了的算法，或者人工智能可能已經(jīng)訓(xùn)練了足夠多的Fawkes影像，已經(jīng)學(xué)會(huì)了如何識(shí)別它們。無論如何，溫格的團(tuán)隊(duì)上周發(fā)布了工具的更新版本，再次對(duì)抗Azure。“這是另一場貓鼠軍備競賽。”她說。

對(duì)溫格來說，這是一個(gè)關(guān)于互聯(lián)網(wǎng)的故事。她說：“像Clearview這樣的公司正在利用免費(fèi)獲得的數(shù)據(jù)，做他們想做的事情。”

從長遠(yuǎn)來看，監(jiān)管可能會(huì)有幫助，但這并不能阻止公司利用漏洞。她說：“法律上可以接受的東西和人們真正想要的東西之間總是會(huì)有脫節(jié)。像Fawkes這樣的工具正是填補(bǔ)了這個(gè)空白。