211service.com
Hoe te voorkomen dat AI je gezicht herkent in selfies
mevrouw Tech | Unsplash
Het uploaden van persoonlijke foto's naar internet kan voelen als loslaten. Wie hebben er nog meer toegang tot ze, wat gaan ze ermee doen en welke algoritmen voor machine learning zullen ze helpen trainen?
Het bedrijf Clearview heeft al geleverde Amerikaanse wetshandhavingsinstanties met een gezichtsherkenningstool die is getraind op foto's van miljoenen mensen die van het openbare internet zijn geschraapt. Maar dat was waarschijnlijk nog maar het begin. Iedereen met basiscoderingsvaardigheden kan nu gezichtsherkenningssoftware ontwikkelen, wat betekent dat er meer dan ooit potentieel is om de technologie te misbruiken in alles, van seksuele intimidatie en rassendiscriminatie tot politieke onderdrukking en religieuze vervolging.
Verwant verhaal
Zo verloren we de controle over ons gezicht De grootste studie ooit van gezichtsherkenningsgegevens laat zien hoezeer de opkomst van deep learning heeft geleid tot een verlies van privacy.
Een aantal AI-onderzoekers duwt terug en ontwikkelt manieren om ervoor te zorgen dat AI's niet kunnen leren van persoonlijke gegevens. Twee van de nieuwste worden deze week gepresenteerd op ICLR, een toonaangevende AI-conferentie.
Ik hou er niet van dat mensen dingen van me afnemen die ze niet horen te hebben, zegt Emily Wenger van de Universiteit van Chicago, die een van de eerste tools om dit te doen , riep Fawkes, met haar collega's afgelopen zomer: Ik denk dat velen van ons tegelijkertijd een soortgelijk idee hadden.
Gegevensvergiftiging is niet nieuw. Acties zoals het verwijderen van gegevens die bedrijven over u hebben, of het bespreken van vervuilende datasets met nepvoorbeelden, kunnen het voor bedrijven moeilijker maken om nauwkeurige machine learning-modellen te trainen. Maar deze inspanningen vereisen doorgaans collectieve actie, waaraan honderden of duizenden mensen deelnemen, om impact te maken. Het verschil met deze nieuwe technieken is dat ze werken op de foto's van één persoon.
Deze technologie kan door een persoon als sleutel worden gebruikt om zijn gegevens te vergrendelen, zegt Sarah Erfani van de Universiteit van Melbourne in Australië. Het is een nieuwe frontlinieverdediging voor het beschermen van de digitale rechten van mensen in het tijdperk van AI.
Verbergen in duidelijk zicht
De meeste tools, waaronder Fawkes, hanteren dezelfde basisbenadering. Ze brengen kleine veranderingen aan in een afbeelding die moeilijk te zien zijn met een menselijk oog, maar werpen een AI af, waardoor deze verkeerd identificeert wie of wat hij op een foto ziet. Deze techniek komt heel dicht in de buurt van een soort vijandige aanval, waarbij kleine wijzigingen in invoergegevens diepe leermodellen kunnen dwingen grote fouten te maken.
Geef Fawkes een heleboel selfies en het zal verstoringen op pixelniveau toevoegen aan de afbeeldingen die voorkomen dat geavanceerde gezichtsherkenningssystemen identificeren wie er op de foto's staat. In tegenstelling tot eerdere manieren om dit te doen, zoals het dragen van AI-spoofing gezichtsverf, laat het de afbeeldingen schijnbaar onveranderd voor mensen.
Wenger en haar collega's testten hun tool tegen verschillende veelgebruikte commerciële gezichtsherkenningssystemen, waaronder Amazon's AWS Rekognition, Microsoft Azure en Face++, ontwikkeld door het Chinese bedrijf Megvii Technology. In een klein experiment met een dataset van 50 afbeeldingen was Fawkes 100% effectief tegen al deze afbeeldingen, waardoor modellen die waren getraind op aangepaste afbeeldingen van mensen, later afbeeldingen van die mensen in nieuwe afbeeldingen niet konden herkennen. De bewerkte trainingsbeelden hadden ervoor gezorgd dat de gereedschappen geen nauwkeurige weergave van de gezichten van die mensen konden vormen.
Verwant verhaal
De NYPD gebruikte een controversiële gezichtsherkenningstool. Dit is wat u moet weten. Uit recent verschenen e-mails blijkt dat de politie van New York op grote schaal gebruik heeft gemaakt van het controversiële Clearview AI-gezichtsherkenningssysteem en er misleidende uitspraken over heeft gedaan.
Fawkes is al bijna een half miljoen keer gedownload van de projectwebsite . Een gebruiker heeft ook een online versie , waardoor het voor mensen nog gemakkelijker te gebruiken is (hoewel Wenger niet instaat voor derden die de code gebruiken, waarschuwing: u weet niet wat er met uw gegevens gebeurt terwijl die persoon deze verwerkt). Er is nog geen telefoon-app, maar niets houdt iemand tegen om er een te maken, zegt Wenger.
Fawkes kan voorkomen dat een nieuw gezichtsherkenningssysteem u herkent, bijvoorbeeld de volgende Clearview. Maar het saboteert geen bestaande systemen die al zijn getraind op uw onbeschermde afbeeldingen. De technologie verbetert echter voortdurend. Wenger denkt dat een tool ontwikkeld door Valeriia Cherepanova en haar collega's van de Universiteit van Maryland, een van de teams bij ICLR deze week, dit probleem zou kunnen aanpakken.
Genaamd LowKey , breidt de tool uit op Fawkes door verstoringen toe te passen op afbeeldingen op basis van een sterkere soort vijandige aanval, die ook vooraf getrainde commerciële modellen voor de gek houdt. Net als Fawkes, LowKey is ook online beschikbaar .
Erfani en haar collega's hebben er een nog grotere draai aan gegeven. Samen met Daniel Ma van Deakin University en onderzoekers van de University of Melbourne en Peking University in Beijing heeft Erfani een manier ontwikkeld om afbeeldingen om te zetten in ' onleesbare voorbeelden ,' waardoor een AI je selfies in feite volledig negeert. Ik vind het geweldig, zegt Wenger. Fawkes traint een model om iets verkeerds over jou te leren, en deze tool traint een model om niets over jou te leren.

Beelden van mij die van het web zijn geschraapt (boven) worden omgezet in onleesbare voorbeelden (onder) die een gezichtsherkenningssysteem zal negeren. (Met dank aan Sarah Erfani, Daniel Ma en collega's)
In tegenstelling tot Fawkes en zijn volgelingen, zijn onleesbare voorbeelden niet gebaseerd op vijandige aanvallen. In plaats van wijzigingen in een afbeelding aan te brengen die een AI dwingen een fout te maken, voegt Ma's team kleine veranderingen toe die een AI ertoe brengen deze tijdens de training te negeren. Wanneer de afbeelding later wordt gepresenteerd, zal de evaluatie van wat erin zit niet beter zijn dan een willekeurige gok.
Onleerzame voorbeelden kunnen effectiever zijn dan vijandige aanvallen, omdat er niet tegen kan worden getraind. Hoe meer tegenstrijdige voorbeelden een AI ziet, hoe beter hij wordt in het herkennen ervan. Maar omdat Erfani en haar collega's in de eerste plaats een AI ervan weerhouden om op afbeeldingen te trainen, beweren ze dat dit niet zal gebeuren met onleesbare voorbeelden.
Wenger legt zich echter neer bij een voortdurende strijd. Haar team merkte onlangs dat de gezichtsherkenningsservice van Microsoft Azure niet langer werd vervalst door sommige van hun afbeeldingen. Het werd op de een of andere manier robuust voor verhulde beelden die we hadden gegenereerd, zegt ze. We weten niet wat er is gebeurd.
Microsoft heeft misschien zijn algoritme gewijzigd, of de AI heeft gewoon zoveel afbeeldingen gezien van mensen die Fawkes gebruiken dat hij ze heeft leren herkennen. Hoe dan ook, het team van Wenger heeft vorige week een update voor hun tool uitgebracht die weer tegen Azure werkt. Dit is weer een kat-en-muiswapenwedloop, zegt ze.
Voor Wenger is dit het verhaal van internet. Bedrijven zoals Clearview profiteren van wat zij beschouwen als vrij beschikbare gegevens en gebruiken deze om te doen wat ze willen, zegt ze.
Regulering kan op de lange termijn helpen, maar dat weerhoudt bedrijven er niet van om mazen in de wet te exploiteren. Er zal altijd een discrepantie zijn tussen wat wettelijk acceptabel is en wat mensen eigenlijk willen, zegt ze. Tools zoals Fawkes vullen die leemte op.
Laten we mensen wat macht geven die ze voorheen niet hadden, zegt ze.