Cómo evitar que la IA reconozca tu rostro en selfies

autofoto puede

Sra. Tecnología | Unsplash





Subir fotos personales a Internet puede ser como dejarse llevar. ¿Quién más tendrá acceso a ellos, qué harán con ellos y qué algoritmos de aprendizaje automático ayudarán a entrenar?

La empresa Clearview ya ha proporcionado a las agencias de aplicación de la ley de EE. UU. con una herramienta de reconocimiento facial entrenada con fotos de millones de personas extraídas de la web pública. Pero eso probablemente fue solo el comienzo. Cualquier persona con habilidades básicas de codificación ahora puede desarrollar un software de reconocimiento facial, lo que significa que existe más potencial que nunca para abusar de la tecnología en todo, desde el acoso sexual y la discriminación racial hasta la opresión política y la persecución religiosa.

Así es como perdimos el control de nuestras caras

El estudio más grande jamás realizado sobre datos de reconocimiento facial muestra cuánto el auge del aprendizaje profundo ha provocado una pérdida de privacidad.



Varios investigadores de IA están retrocediendo y desarrollando formas de asegurarse de que las IA no puedan aprender de los datos personales. Dos de los últimos se presentarán esta semana en ICLR, una conferencia líder en IA.

No me gusta que la gente me quite cosas que se supone que no deben tener, dice Emily Wenger de la Universidad de Chicago, quien desarrolló una de las primeras herramientas para hacer esto , llamó Fawkes, con sus colegas el verano pasado: Supongo que muchos de nosotros tuvimos una idea similar al mismo tiempo.

Envenenamiento de datos no es nuevo Acciones como eliminar los datos que las empresas tienen sobre usted o deliberar conjuntos de datos contaminantes con ejemplos falsos pueden dificultar que las empresas entrenen modelos precisos de aprendizaje automático. Pero estos esfuerzos generalmente requieren una acción colectiva, con la participación de cientos o miles de personas, para tener un impacto. La diferencia con estas nuevas técnicas es que funcionan en las fotos de una sola persona.



Esta tecnología puede ser utilizada como clave por un individuo para bloquear sus datos, dice Sarah Erfani de la Universidad de Melbourne en Australia. Es una nueva defensa de primera línea para proteger los derechos digitales de las personas en la era de la IA.

Ocultos a plena vista

La mayoría de las herramientas, incluido Fawkes, adoptan el mismo enfoque básico. Realizan pequeños cambios en una imagen que son difíciles de detectar con el ojo humano, pero descartan una IA, lo que hace que identifique erróneamente a quién o qué ve en una foto. Esta técnica está muy cerca de un tipo de ataque adversario, donde pequeñas alteraciones en los datos de entrada pueden obligar a los modelos de aprendizaje profundo a cometer grandes errores.

Dale a Fawkes un montón de selfies y agregará perturbaciones a nivel de píxeles a las imágenes que impiden que los sistemas de reconocimiento facial de última generación identifiquen quién está en las fotos. A diferencia de las formas anteriores de hacer esto, como usar pintura facial que suplanta la IA, deja las imágenes aparentemente sin cambios para los humanos.



Wenger y sus colegas probaron su herramienta con varios sistemas comerciales de reconocimiento facial ampliamente utilizados, incluidos AWS Rekognition de Amazon, Microsoft Azure y Face++, desarrollados por la empresa china Megvii Technology. En un pequeño experimento con un conjunto de datos de 50 imágenes, Fawkes fue 100% efectivo contra todas ellas, impidiendo que los modelos entrenados en imágenes modificadas de personas reconocieran más tarde imágenes de esas personas en imágenes nuevas. Las imágenes de entrenamiento manipuladas habían impedido que las herramientas formaran una representación precisa de los rostros de esas personas.

La policía de Nueva York utilizó una controvertida herramienta de reconocimiento facial. Esto es lo que necesita saber.

Los correos electrónicos publicados recientemente muestran que la policía de Nueva York ha estado utilizando ampliamente el controvertido sistema de reconocimiento facial Clearview AI y ha hecho declaraciones engañosas al respecto.

Fawkes ya ha sido descargado casi medio millón de veces desde el sitio web del proyecto . Un usuario también ha creado un versión en línea , lo que hace que sea aún más fácil de usar para las personas (aunque Wenger no garantizará que terceros usen el código, advertencia: no sabe qué sucede con sus datos mientras esa persona los procesa). Todavía no hay una aplicación de teléfono, pero no hay nada que impida que alguien haga una, dice Wenger.



Fawkes puede evitar que un nuevo sistema de reconocimiento facial lo reconozca, por ejemplo, el próximo Clearview. Pero no saboteará los sistemas existentes que ya han sido entrenados en sus imágenes desprotegidas. Sin embargo, la tecnología está mejorando todo el tiempo. Wenger cree que una herramienta desarrollada por Valeriia Cherepanova y sus colegas de la Universidad de Maryland, uno de los equipos de ICLR esta semana, podría abordar este problema.

Llamado Clave baja , la herramienta amplía Fawkes al aplicar perturbaciones a las imágenes basadas en un tipo de ataque adversario más fuerte, que también engaña a los modelos comerciales previamente entrenados. como fawkes, LowKey también está disponible en línea .

Erfani y sus colegas han agregado un giro aún mayor. Junto con Daniel Ma de la Universidad Deakin e investigadores de la Universidad de Melbourne y la Universidad de Pekín en Beijing, Erfani ha desarrollado una forma de convertir las imágenes en ' ejemplos imposibles de aprender ', que efectivamente hacen que una IA ignore por completo tus selfies. Creo que es genial, dice Wenger. Fawkes entrena a un modelo para que aprenda algo malo sobre ti, y esta herramienta entrena a un modelo para que no aprenda nada sobre ti.

Las imágenes mías extraídas de la web (arriba) se convierten en ejemplos imposibles de aprender (abajo) que un sistema de reconocimiento facial ignorará. (Crédito a Sarah Erfani, Daniel Ma y colegas)

A diferencia de Fawkes y sus seguidores, los ejemplos imposibles de aprender no se basan en ataques de adversarios. En lugar de introducir cambios en una imagen que obligan a una IA a cometer un error, el equipo de Ma agrega pequeños cambios que engañan a una IA para que la ignore durante el entrenamiento. Cuando se le presente la imagen más tarde, su evaluación de lo que contiene no será mejor que una suposición aleatoria.

Los ejemplos imposibles de aprender pueden resultar más efectivos que los ataques adversarios, ya que no se pueden entrenar contra ellos. Cuantos más ejemplos contradictorios ve una IA, mejor los reconoce. Pero debido a que Erfani y sus colegas evitan que una IA se entrene con imágenes en primer lugar, afirman que esto no sucederá con ejemplos imposibles de aprender.

Sin embargo, Wenger está resignado a una batalla en curso. Su equipo notó recientemente que el servicio de reconocimiento facial de Microsoft Azure ya no estaba falsificado por algunas de sus imágenes. De repente, de alguna manera se volvió resistente a las imágenes encubiertas que habíamos generado, dice ella. No sabemos qué pasó.

Es posible que Microsoft haya cambiado su algoritmo, o que la IA simplemente haya visto tantas imágenes de personas que usan Fawkes que aprendió a reconocerlas. De cualquier manera, el equipo de Wenger lanzó una actualización de su herramienta la semana pasada que vuelve a funcionar contra Azure. Esta es otra carrera armamentista del gato y el ratón, dice ella.

Para Wenger, esta es la historia de Internet. Compañías como Clearview están capitalizando lo que perciben como datos disponibles gratuitamente y usándolos para hacer lo que quieran, dice.

La regulación puede ayudar a largo plazo, pero eso no impedirá que las empresas aprovechen las lagunas. Siempre habrá una desconexión entre lo que es legalmente aceptable y lo que la gente realmente quiere, dice. Herramientas como Fawkes llenan ese vacío.

Démosle a la gente algo de poder que antes no tenían, dice ella.

esconder