Сбить с толку систему распознавания лиц поможет «напыление» пикселей на фото

Специалисты Чикагского университета создали самую эффективную на данный момент технологию для обхода систем распознавания лиц.

Представленная учеными технология базируется на предыдущей работе специалистов компании Google, посвященной глубокому обучению нейронных сетей. В докладе за 2014 год они сообщили, что «незаметные искажения» изображения могут сбить с толку даже самые передовые алгоритмы распознавания. Публикация доклада вызвала целую волну исследований, посвященных обходу систем распознавания изображений с помощью так называемых состязательных атак.

Разработанная специалистами Чикагского университета программа получила название Fawkes в честь английского революционера 16-17 веков Гая Фокса (Guy Fawkes). Это его лицо изображено на маске, столь полюбившейся участникам движения Anonymous.

Fawkes «покрывает» изображение небольшим количеством пикселей, невидимых для человеческого глаза. Если такое фото (например, взятое из соцсетей) использовать для обучения алгоритмов распознавания, то потом они не смогут правильно идентифицировать изображенного на фото человека. Специалисты протестировали свою программу на системах распознавания лиц Amazon, Microsoft и Megvii и в 100% случаев смогли их обмануть.

По словам создателей Fawkes, их программа позволяет пользователям «в любое время сделать себе прививку против неавторизованных моделей распознавания лиц без заметного искажения своих фотографий».

Исследователи осознают, что их изобретение далеко от совершенства. Идея заключается в обучении систем распознавания с использованием изображений, покрытых пиксельным «напылением», однако у большинства пользователей в интернет уже загружены сотни, а то и тысячи оригинальных фотографий. Как показывают испытания, если при обучении алгоритмов распознавания использовать менее 85% фото с «напылением», эффективность Fawkes снижается до 39%.

Состязательная атака (adversarial attack) – способ обмана нейросетей путем введения нестандартных данных.