揭秘丨反人脸识别,身份欺骗成功率达99.5%
在一些社交媒体平台,每次你上传照片或视频时,它的人脸识别系统会试图从这些照片和视频中得到更多信息。比如,这些算法会提取关于你是谁、你的位置以及你认识的其他人的数据,并且,这些算法在不断改进。
现在,人脸识别的克星——“反人脸识别”问世了,国外已有团队开发了一种算法,可以动态地破坏人脸识别系统。
当然了,这是居于应对社交平台上传照片或视频时的方法,你如果希望出门能不被追踪,可能要看看下面相关阅读的“隐身面具”。——不少朋友留言说这是给犯罪份子支招,而我看来如果这算是好招,那可能也只能是“割须弃袍”的损招,就像劝一个抢劫犯大白天穿着夜行服一样。
相关阅读:
他们的解决方案利用了一种叫做对抗训练(adversarial training)的深度学习技术,这种技术让两种人工智能算法相互对抗。
当下,深度神经网络已经被应用于各种场景,如自动驾驶车辆、癌症检测等,但是我们迫切需要更好地理解这些模型容易受到攻击的方式。在图像识别领域,在图像中添加小的、往往不可察觉的干扰就可以欺骗一个典型的分类网络,使其将图像错误地分类。
两个神经网络相互对抗,形成“隐私”滤镜
研究人员提出一种针对基于Faster R-CNN的人脸探测器的新攻击方法。该方法通过产生微小的干扰(perturbation),当将这些干扰添加到输入的人脸图像中时,会导致预训练过的人脸探测器失效。
研究人员设计了两个神经网络:第一个用于识别人脸,第二个用于干扰第一个神经网络的识别人脸任务。这两个神经网络不断地相互对抗,并相互学习。
其结果是一个类似instagram的“隐私”滤镜,可以应用于照片,以保护隐私。其中的秘诀是他们的算法改变了照片中的一些特定像素,但人眼几乎察觉不到这些变化。
“干扰性的AI算法不能‘攻击’用于检测人脸的神经网络正在寻找的东西。” 该项目的主要作者Bose说:“例如,如果检测网络正在寻找眼角,干扰算法就会调整眼角,使得眼角的像素不那么显眼。算法在照片中造成了非常微小的干扰,但对于检测器来说,这些干扰足以欺骗系统。”
所提出的对抗攻击的pineline,其中生成器网络G创建图像条件干扰,以欺骗人脸检测器。
接下来,该团队希望通过app或网站公开这个隐私滤镜。