211service.com
Hur man stoppar AI från att känna igen ditt ansikte i selfies
Ms Tech | Unsplash
Att ladda upp personliga bilder till internet kan kännas som att släppa taget. Vilka mer kommer att ha tillgång till dem, vad ska de göra med dem – och vilka maskininlärningsalgoritmer kommer de att hjälpa till att träna?
Det har företaget Clearview redan levererade amerikanska brottsbekämpande myndigheter med ett ansiktsigenkänningsverktyg utbildat på foton av miljontals människor skrapade från den offentliga webben. Men det var förmodligen bara början. Alla med grundläggande kodningsfärdigheter kan nu utveckla mjukvara för ansiktsigenkänning, vilket innebär att det finns mer potential än någonsin att missbruka tekniken i allt från sexuella trakasserier och rasdiskriminering till politiskt förtryck och religiös förföljelse.
Relaterad berättelse
Det var så vi tappade kontrollen över våra ansikten Den största studien någonsin av ansiktsigenkänningsdata visar hur mycket ökningen av djupinlärning har lett till en förlust av integritet.
Ett antal AI-forskare driver tillbaka och utvecklar sätt att se till att AI:er inte kan lära sig av personuppgifter. Två av de senaste presenteras denna vecka på ICLR, en ledande AI-konferens.
Jag gillar inte att folk tar saker ifrån mig som de inte ska ha, säger Emily Wenger vid University of Chicago, som utvecklat ett av de första verktygen för att göra detta , kallad Fawkes, med sina kollegor förra sommaren: Jag antar att många av oss hade en liknande idé samtidigt.
Dataförgiftning är inte ny. Åtgärder som att ta bort data som företag har om dig, eller att överväga förorenande datamängder med falska exempel, kan göra det svårare för företag att träna exakta maskininlärningsmodeller. Men dessa ansträngningar kräver vanligtvis kollektiva åtgärder, med hundratals eller tusentals människor som deltar, för att få effekt. Skillnaden med dessa nya tekniker är att de fungerar på en enda persons foton.
Den här tekniken kan användas som en nyckel av en individ för att låsa sin data, säger Sarah Erfani vid University of Melbourne i Australien. Det är ett nytt frontlinjeförsvar för att skydda människors digitala rättigheter i AI-tiden.
Gömmer sig i klarsynt
De flesta verktyg, inklusive Fawkes, har samma grundläggande tillvägagångssätt. De gör små ändringar i en bild som är svåra att upptäcka med ett mänskligt öga men som kastar av sig en AI, vilket gör att den missidentifierar vem eller vad den ser på ett foto. Den här tekniken är mycket nära en slags kontradiktorisk attack, där små ändringar av indata kan tvinga djupinlärningsmodeller att göra stora misstag.
Ge Fawkes ett gäng selfies och det kommer att lägga till störningar på pixelnivå till bilderna som hindrar toppmoderna ansiktsigenkänningssystem från att identifiera vem som är på bilderna. Till skillnad från tidigare sätt att göra detta, som att bära AI-spoofing ansiktsfärg, lämnar det bilderna uppenbarligen oförändrade för människor.
Wenger och hennes kollegor testade sitt verktyg mot flera allmänt använda kommersiella ansiktsigenkänningssystem, inklusive Amazons AWS Rekognition, Microsoft Azure och Face++, utvecklat av det kinesiska företaget Megvii Technology. I ett litet experiment med en datamängd på 50 bilder var Fawkes 100 % effektiv mot dem alla, vilket hindrade modeller som tränats på justerade bilder av människor från att senare känna igen bilder av dessa personer i färska bilder. De manipulerade träningsbilderna hade hindrat verktygen från att bilda en korrekt representation av dessa människors ansikten.
Relaterad berättelse
NYPD använde ett kontroversiellt verktyg för ansiktsigenkänning. Här är vad du behöver veta. Nysläppta e-postmeddelanden visar att New York-polisen i stor utsträckning har använt det kontroversiella ansiktsigenkänningssystemet Clearview AI – och gjort vilseledande uttalanden om det.
Fawkes har redan laddats ner nästan en halv miljon gånger från projektets webbplats . En användare har också byggt en onlineversion , vilket gör det ännu enklare för människor att använda (även om Wenger inte garanterar att tredje part använder koden, varning: Du vet inte vad som händer med din data medan den personen bearbetar den). Det finns ännu ingen telefonapp, men det finns inget som hindrar någon från att göra en, säger Wenger.
Fawkes kan hindra ett nytt ansiktsigenkänningssystem från att känna igen dig - nästa Clearview, säg. Men det kommer inte att sabotera befintliga system som redan har tränats på dina oskyddade bilder. Tekniken förbättras dock hela tiden. Wenger tror att ett verktyg som utvecklats av Valeriia Cherepanova och hennes kollegor vid University of Maryland, ett av teamen på ICLR den här veckan, kan lösa detta problem.
Kallad Låg ton , expanderar verktyget på Fawkes genom att applicera störningar på bilder baserade på en starkare sorts motståndsangrepp, som också lurar förtränade kommersiella modeller. Som Fawkes, LowKey är också tillgänglig online .
Erfani och hennes kollegor har lagt till en ännu större twist. Tillsammans med Daniel Ma vid Deakin University och forskare vid University of Melbourne och Peking University i Peking har Erfani utvecklat ett sätt att förvandla bilder till ' outhärdliga exempel ,' som effektivt får en AI att ignorera dina selfies helt. Jag tycker det är jättebra, säger Wenger. Fawkes tränar en modell för att lära sig något fel om dig, och det här verktyget tränar en modell för att inte lära sig något om dig.

Bilder på mig skrapade från nätet (överst) förvandlas till olärliga exempel (nederst) som ett ansiktsigenkänningssystem kommer att ignorera. (Kredit till Sarah Erfani, Daniel Ma och kollegor)
Till skillnad från Fawkes och dess anhängare, är olärbara exempel inte baserade på motstridiga attacker. Istället för att införa ändringar i en bild som tvingar en AI att göra ett misstag, lägger Ma's team till små ändringar som lurar en AI att ignorera den under träningen. När bilden presenteras senare blir dess utvärdering av vad som finns i den inte bättre än en slumpmässig gissning.
Olärbara exempel kan visa sig mer effektiva än motstridiga attacker, eftersom de inte kan tränas mot. Ju fler motstridiga exempel en AI ser, desto bättre blir den på att känna igen dem. Men eftersom Erfani och hennes kollegor stoppar en AI från att träna på bilder i första hand, hävdar de att detta inte kommer att hända med olärliga exempel.
Wenger är dock resignerad för en pågående strid. Hennes team märkte nyligen att Microsoft Azures ansiktsigenkänningstjänst inte längre var förfalskade av vissa av deras bilder. Det blev plötsligt på något sätt robust mot cloakade bilder som vi hade genererat, säger hon. Vi vet inte vad som hände.
Microsoft kan ha ändrat sin algoritm, eller så kan AI helt enkelt ha sett så många bilder från människor som använder Fawkes att den lärde sig känna igen dem. Hur som helst, Wengers team släppte en uppdatering till sitt verktyg förra veckan som fungerar mot Azure igen. Det här är ännu en kapprustning mellan katt och råtta, säger hon.
För Wenger är detta historien om internet. Företag som Clearview drar nytta av vad de uppfattar som fritt tillgänglig data och använder den för att göra vad de vill, säger hon.
Reglering kan hjälpa i det långa loppet, men det kommer inte att hindra företag från att utnyttja kryphål. Det kommer alltid att finnas en koppling mellan vad som är juridiskt acceptabelt och vad folk faktiskt vill ha, säger hon. Verktyg som Fawkes fyller det gapet.
Låt oss ge människor lite makt som de inte hade tidigare, säger hon.