面部识别技术近年来变得越来越普遍。Facebook 用它来标记你的照片; 联邦调查局有一个庞大的面部识别数据库,涉及数亿张图片; 在纽约,甚至有计划为每座桥梁和隧道添加智能面部识别监控摄像头; 在英国,大都会警察正在积极部署面部识别摄像头,尽管面对隐私保护组织的奋力反抗; 在中国,共产党政府一直在拼命宣传面部识别的应用领域,中国人似乎这种技术的大面积铺设无能为力……
技术人士都是行动主义者。随着面部识别的全球扩展,旨在击败面部识别的产品和软件一直层出不穷。在2016年11月的一项研究中,卡内基梅隆大学的研究人员就设计了一种可以欺骗系统识人脸的眼镜框。
这种眼镜不仅可以使佩戴者基本上消失在这种广泛的自动化识别系统中,它甚至还可以欺骗系统认为你是别人。通过调整印在眼镜上的图案,科学家能够假定出一个他人的身份,或者使软件认为他们正在看着的是某个大明星。
就如下面这张图,第一行戴着眼镜的是你,第二行是别面部识别判断出来的人。
这种镜框之所以能达到欺骗的目的是因为它利用了机器理解面部的方式。面部识别软件通常由深度学习提供动力,是通过大量数据来筛选重复出现的模式的系统。就识别面孔而言,这意味着系统要衡量个体瞳孔之间的距离,或者查看眉毛或鼻孔的倾斜度。
显然与人类的理解不同,这种分析是发生在抽象层面的。计算机系统不像我们那样理解一个人的面孔,他们只是在寻找像素模式。如果你知道正在寻找的是什么样的模式,就可以轻松地使机器视觉系统看到的只是抽象模式的动物、人和物体。这正是卡内基梅隆研究人员所做的。
首先,他们计算出与特定面孔相关的图案,然后将它们印在一组宽幅眼镜上(以便更好地占据更多的框架; 最后约有 6.5% 的可用像素)测试显示,欺骗面部识别的这种镜框成功率100%。
要想冒充其他人会更加复杂些。一位 41 岁的白人男性研究人员能够欺骗面部识别系统认为被看到的是女演员 Milla Jovovich 的身份,准确率为 87.87%。但是一位 24 岁的南亚女性研究员想要说服一台电脑认为她已经 79 岁了,成功率只有 16%。
这个系统有明显的局限性。首先,尽管戴眼镜比戴面具或使用 CV Dazzle(一种大胆的化妆,以混淆面部识别系统)等方式更为隐蔽,几乎不显眼。不过研究人员没有测试拍摄图案在不同距离和不同光照条件下的成功率。以及如何对付中国已经开始测试的人脸识别夜视功能。
2017年11月,麻省理工学院和九州大学的专家们通过改变单个像素来欺骗一种算法,让监视系统将 3D 打印的乌龟的图片标记为步枪。
日本研究人员开发了这种他们称之为“单像素攻击”的东西,这是一种识别和改变图像中单个像素的算法,以迫使 AI “看到”其他东西。
马变成了汽车,汽车变成了狗。通过改变 1,024 像素图像中的单个像素,攻击在 74% 的时间内成功;当改变五个像素时,攻击的成功率上升到 87%。
麻省理工学院的研究人员通过将识别软件与 3D 对象实时相混淆,进一步加强了欺骗效果。他们 3D 打印了一只乌龟,有目的地改变其纹理和颜色,以便让 AI “看到”的是一只步枪,从任何不同的角度和距离来看都是步枪。
至关重要的是,这些研究人员能够选择他们想要让 AI “看到”的东西,和上述镜框一样,你可以把自己变成猫王。或者通过改变你的汽车的颜色和条纹 - 多个像素,你可以欺骗监控系统认为他们看到的是一条狗。
但是有人认为这种技术很危险,因为如果有人持枪抢劫,AI 却把那只枪看成了乌龟……听起来有点道理。但必须知道,持枪抢劫是偶发事件,而监控摄像已经将整个世界变成了常规且持久的大监狱。人工智能的“视觉”能力飞速提升的结果是不可避免地意味着更为强大的监控。
随着人工智能准备在范式上改变现代生活的各个方面,包括健康、安全、交通等,我们非常有必要预测和防止这些隐私攻击。
还有一个,由斯坦福大学研究员 Jiajun Lu 领导的项目,涉及制造“对抗性案例”,以欺骗图像识别工具,包括面部识别、以及自动驾驶汽车识别停车标志和交通所用的系统。对于前者,Lu 和他的团队创造了一种伪装,看起来像是 Google DeepDream 恶梦之一。他们说, “通过应用这种伪装,无法在各种条件下检测到脸部:角度,距离,照明等等,”Lu 说。
Lu 建议使用遗传方式制作实验性“ 活体纹身 ”编程的活细胞,这样做的好处是可以将图案设计为仅在某些情况下出现,或者称之为“活纹身” - 纹身中的细胞被编程为仅当被命令或特定的环境条件满足时,才显示其颜色。这种方法至少比那个超前卫的化妆术常规一些,能够按照你的喜好打开或关闭它。
不过,Lu 这项技术不是为抗议者、黑客或间谍制定的。他称这项研究背后的基本思想是推动设计神经网络的人们改进系统中的算法。
最近,多伦多大学教授 Parham Aarabi 和研究生 Avishek Bose 创建了一种算法,通过对图像进行光变换,可以动态地中断面部识别系统。没错,它专门对付 Facebook 那种在线面部识别。
根据 Bose 和 Aarabi 的说法,他们是第一个使用 AI 实现的解决方案:用 AI 打败 AI。
他们的算法是在 600 张脸的数据集上进行训练的,可以提供一个应用于任何图片的实时滤镜。由于它针对图像中高度特定的单个像素,因此它几乎不会被人眼察觉。也就是说你我看到的还是我们的朋友的脸,而 Facebook 看到的是完全不同的东西。
这两位研究人员采用了对抗训练,这是一种由两个神经网络组成的 AI - 一个产生数据输出的“发生器”、另一个检测由发生器制造的假数据的“鉴别器”,以训练网络。系统使用生成器来识别面部,并使用鉴别器以破坏面部识别。
在 2018 年 IEEE 国际多媒体信号处理研讨会上发表的研究论文中,Bose 和 Aarabi 称他们的算法能够将面部识别系统中能检测到的人脸比例从 100% 降低到 0.5%~5% 之间。
他们希望神经网络可用在应用程序或网站中。
“十年前,这些算法还必须是人类来提供,但现在神经网络自己可以学习 - 除了训练数据外,你不需要提供任何东西。最终他们可以做一些非常了不起的事。这是一个迷人的时代,有巨大的潜力”,Aarabi 说。
不过通过阅读团队发布的详细论文,你会发现,离成功还有一段路要走。首先,并非所有的图像识别系统都以相同的方式工作,诸如 Faster R-CNN 等架构已经提出了更大的挑战。
在今年五月的 F8 会议期间,Facebook 的首席技术官 Mike Schroepfer 解释该公司如何成功使用 35 亿 Instagram 图片来提高其人工智能识别和分类视觉内容的能力。该项目是尝试在其平台上自动进行内容审查的一部分。正是作为用户的我们应该高度警惕的。
目前有许多公司正在投资于形象和脸部识别技术,无论是在线审查还是以一种更险恶的方式 - 在对政府和警察部门感兴趣的实时脸部识别中。但是 Facebook 在其中是一个非常重要的案例,因为该公司拥有巨大的力量,可以在培训和发展其神经 AI 以执行此类任务时为其提供特别的优势。
在几乎所有领域中使用 AI 来破坏 AI 都有一种固有的吸引力 - 因为被中断的 AI 可以演变为阻止这种情况发生的更为强大的力量。这便将问题转化为永久性的 AI vs AI 的 Sisyphean 式挑战,每一个都在试图超越另一个。
当多伦多大学的研究人员将他们开发的产品转换为可被任何人用作浏览器插件或应用程序的过滤器时,我们可以预料到,这场战斗已经开始。
用技术对抗技术,隐私保卫战将越来越精彩。如果你支持隐私保护、反对内容审查,那么请用你的实力加入进来。
Comments