Успешная имперсонификация в системе распознавания лиц. Слева: актриса Риз Уизерспун, личность которой нейросеть распознаёт с вероятностью 100%. В центре: очки, подобранные для имперсонификации актёра Рассела Кроу. Справа: жертва имперсонификации
Благодаря нейросетям системы машинного зрения достигли рекордной точности результаты в распознавании лиц. Личность человека почти безошибочно распознаётся даже на смазанных фотографиях и на тех, где лицо видно лишь частично. Созданы алгоритмы, которые учитывают контекст: одежду, окружение, походку. Пока это лишь передовые технологические разработки. Но учитывая всемирную истерию вокруг терроризма и безопасности (хотя от терроризма погибает в 53 раза меньше людей, чем в ДТП), очень скоро подобные программы распознавания будут без всякого сомнения подключены к миллионам видеокамер наружного наблюдения в общественных местах. Вопрос в том, какие есть методы, чтобы бороться с такой слежкой?
С распознаванием лиц очень тяжело бороться, но учёные всё-таки пытаются найти «уязвимости» в системах распознавания лиц. Чтобы обмануть такую систему, требуется специфическим образом изменить физическую внешность. Нет никаких проблем накинуть капюшон или надеть большие тёмные очки. Но это подозрительно — человека с закрытым лицом может задержать полиция или охранники. Должны быть более интеллектуальные способы. Некие маленькие изменения наверняка могут эффективно обойти компьютерную систему распознавания, но при этом почти никак ��е повлияют на восприятие человека в глазах окружающих и ни у кого не вызовет подозрения.
Задача аналогична той, какую решают распространители спама для обхода спам-фильтров. Им нужно, чтобы сообщение дошло до потребителей в удобочитаемом виде, но при этом обошло компьютерные фильтры. Так и здесь — лицо должно быть открыто и хорошо распознаваться людьми, но не должно распознаваться нейросетью.
Лицо злоумышленника (слева), иллюстрация атаки (в центре) и жертва имперсонификации (справа)
В идеале, открытое лицо человека должно распознаваться системой как чужое лицо, по образцу замены глаза у главного героя фильма «Особое мнение». В этом случае у охранников и полиции вообще не будет никаких претензий, а человек сможет свободно перемещаться по общественным местам, которые сканируются камерами видеонаблюдения.
Важно понимать, какие именно изменения сильнее всего ударят по алгоритмам работы нейросетей в распознавании лиц. Группа исследователей из Университета Карнеги-Меллона подробно изучила вопрос и на днях опубликовала результаты своего исследования на эту тему. Фактически, исследователи ведут речь о новом типе атак.
Атаки, которые физически меняют внешность, но при этом выглядят безобидными для внешнего наблюдателя.
В отличие от других подобных атак, в данном случае исследователи сконцентрировались на факторе «безобидности», чтобы факт манипуляции нейросетью не вызвал никаких подозрений у посторонних людей, в том числе у охранников, которые просматривают видеопоток с камер наблюдения.
Учёные выяснили, что в данном случае эффективнее всего использовать очки со специально подобранным паттерном, который воздействует на нейросеть для распознавания лиц. Тестирование систем распознавания лиц определило, что самое уязвимое место нейросетей — сравнение окраски соседних пикселей в конкретных местах лица вокруг глаз.
«Безобидность» — это действительно важно, потому что в случае задержания у человека будет возможность эффективно отрицать злой умысел. Никто не сможет доказать, что эти очки специально созданы для обмана системы распознавания лиц, а не имеют случайную раскраску.
Исследователи предложили два варианта проведения атаки: на имперсонификацию и на уклонение. В первом случае стоит задача выдать лицо человека в очках за лицо конкретного другого человека. В случае атаки на уклонение стоит задача выдать лицо человека в очках за лицо любого другого человека.
Как показали тесты на реальных системах распознавания лиц, такие очки возможно создать в большинстве случаев для некоторых лиц. Например, для лица белого мужчины специально подобранные очки имперсонифицируют личность Милы Йовович в 87,87% случаев. Три автора научной работы (три белых мужчины) испытали очки на себе и заявили, что напечатанные очки с специфическим паттерном позволяют провести атаку на уклонение в 80% случаев против самых современных коммерческих систем распознавания лиц.
Конечно, успех атаки на имперсониф��кации во многом зависит от расы и цвета кожи злоумышленника. Например, южно-азиатская женщина способна имперсонифицировать ближневосточного мужчину в 88% случаев, а вот ближневосточный мужчин может выдать себя за Клайва Оуэна (белый мужчина) только в 16,13% случаев.
Тестирование систем производилось на системе распознавания лиц Face++, а также в системе обнаружения лиц по самому распространённому на сегодняшний день методу Виолы-Джонса. Предложенный в 2001 году алгоритм Виолы-Джонса реализован во множестве популярных программ, в том числе в библиотеке компьютерного зрения OpenCV. Он находит лица с высокой точностью и низким количеством ложных срабатываний.
Учёные оптимизировали алгоритм, чтобы внешний вид очков был наиболее красивым, с мягкими переходами цветом, и подходил для печати на обычном принтере.
Исследователи оценивают, что печать оправы и бумажных очков для обхода современных систем распознавания лиц обойдётся примерно в 22 цента. Для проверки эффективности системы уклонения от распознавания были выбраны 20 случайных фотографий из базы фотографий лиц PubFig. Применение стандартных очков позволило провести атаку на уклонение в 19 случаях из 20, а использование вспомогательных аксессуаров (контактные линзы, зимняя шапка и др.) повысило успешность атаки до 100%. Учёные также обращают внимание, что метод успешно срабатывает не только в системах распознавания лиц с открытым исходным кодом, но и на системах типа black box.
