El truco que podría hacer que el reconocimiento facial pensara que alguien más eres tú

Una cámara de reconocimiento facial por la noche.

Michael Aleo / Unsplash



Los investigadores han demostrado que pueden engañar a un sistema moderno de reconocimiento facial para que vea a alguien que no está allí.

Un equipo de la firma de ciberseguridad McAfee montó el ataque contra un sistema de reconocimiento facial similar a los que se utilizan actualmente en los aeropuertos para la verificación de pasaportes. Mediante el uso del aprendizaje automático, crearon una imagen que parecía una persona para el ojo humano, pero que el algoritmo de reconocimiento facial identificaba como otra persona, el equivalente a engañar a la máquina para que permitiera que alguien abordara un vuelo a pesar de estar en un avión sin pasajeros. lista de moscas



Si nos ponemos frente a una cámara en vivo que usa reconocimiento facial para identificar e interpretar a quién están mirando y lo comparamos con una foto de pasaporte, podemos causar ese tipo de clasificación errónea de manera realista y repetida, dijo el autor principal del estudio, Steve Povolni.



Cómo funciona

Para desviar el algoritmo, los investigadores utilizaron un algoritmo de traducción de imágenes conocido como CycleGAN, que sobresale en la transformación de fotografías de un estilo a otro. Por ejemplo, puede hacer que una foto de un puerto parezca pintada por Monet, o hacer que una foto de montañas tomada en verano parezca tomada en invierno.

Ejemplos de cómo CycleGAN transforma fotos de un estilo a otro, incluyendo convertir una foto en un Monet, un caballo en una cebra y un paisaje de verano en un paisaje de invierno.JUN-YAN ZHU AND TAESUNG PARK ET AL.

El equipo de McAfee usó 1500 fotos de cada uno de los dos protagonistas del proyecto e introdujo las imágenes en un CycleGAN para transformarlas entre sí. Al mismo tiempo, utilizaron el algoritmo de reconocimiento facial para verificar las imágenes generadas por CycleGAN para ver a quién reconocía. Después de generar cientos de imágenes, CycleGAN finalmente creó una imagen falsa que parecía la persona A a simple vista, pero engañó al reconocimiento facial para que pensara que era la persona B.

Las etapas intermedias de CycleGAN que transforman a la persona A en la persona BMCAFEE

Si bien el estudio plantea preocupaciones claras sobre la seguridad de los sistemas de reconocimiento facial, existen algunas advertencias. En primer lugar, los investigadores no tenían acceso al sistema real que utilizan los aeropuertos para identificar a los pasajeros y, en cambio, lo aproximaron con un algoritmo de código abierto de última generación. Creo que para un atacante esa será la parte más difícil de superar, dice Povolny, donde [ellos] no tienen acceso al sistema de destino. No obstante, dadas las grandes similitudes entre los algoritmos de reconocimiento facial, cree que es probable que el ataque funcione incluso en el sistema aeroportuario real.



Cómo funcionan las GAN

  • Redes adversarias generativas son una clase de algoritmo que enfrenta inteligentemente las redes neuronales entre sí para generar mejores resultados.

    En una GAN tradicional, solo hay dos redes: un generador que entrena en un conjunto de datos, digamos un paisaje de verano, para escupir más paisajes de verano; y un discriminador que compara los paisajes generados con el mismo conjunto de datos para decidir si son reales o falsos.

    CycleGAN modifica este proceso al tener dos generadores y dos discriminadores. También hay dos conjuntos de imágenes, como paisajes de verano. y paisajes invernales, que representan los tipos de fotos entre las que te gustaría traducir.

    En esta ocasión el primer generador entrena sobre imágenes de los paisajes de verano con el objetivo de intentar generar paisajes de invierno. El segundo generador, por su parte, entrena sobre imágenes de los paisajes invernales para generar los de verano. Ambos discriminadores una vez más trabajan duro para atrapar la falsificación hasta que los paisajes falsos son indistinguibles de los reales.



En segundo lugar, hoy un ataque de este tipo requiere mucho tiempo y recursos. Los CycleGAN necesitan computadoras poderosas y experiencia para entrenar y ejecutar.

Pero los sistemas de reconocimiento facial y el control automatizado de pasaportes se utilizan cada vez más para la seguridad aeroportuaria en todo el mundo, un cambio que ha sido acelerado por la pandemia de covid-19 y el deseo de sistemas sin contacto. La tecnología ya es ampliamente utilizada por gobiernos y corporaciones en áreas como cumplimiento de la ley , contratación , y seguridad de eventos —aunque muchos grupos han pedido una moratoria sobre tales desarrollos y algunas ciudades han prohibido la tecnología .

Hay otros intentos técnicos para subvertir el reconocimiento facial. Un equipo de la Universidad de Chicago lanzó recientemente Fawkes , una herramienta destinada a encubrir rostros alterando ligeramente sus fotos en las redes sociales para engañar a los sistemas de inteligencia artificial que se basan en bases de datos raspadas de miles de millones de esas imágenes. Investigadores de la firma de IA Kneron también presentado cómo las máscaras pueden engañar a los sistemas de reconocimiento facial que ya se utilizan en todo el mundo.



Los investigadores de McAfee dicen que su objetivo es, en última instancia, demostrar las vulnerabilidades inherentes en estos sistemas de IA y dejar en claro que los seres humanos deben mantenerse al tanto.

La IA y el reconocimiento facial son herramientas increíblemente poderosas para ayudar en el proceso de identificación y autorización de personas, dice Povolny. Pero cuando simplemente los toma y reemplaza a ciegas un sistema existente que depende completamente de un ser humano sin tener algún tipo de control secundario, entonces, de repente, ha introducido tal vez una debilidad mayor que la que tenía antes.

esconder