Комментарии 4
Это значит, что если я должен кому-то отдать скан паспорта, то лучше обработать эту картинку blackbox-вредоносом?
Даже если предположить, что сам получатель не будет использовать полученную фотку неправомерным способом (в идеале, фотка паспорта должна просто лежать в архиве, на всякий случай и ради исполнения законов), но от него картинку можно получить третье лицо, и вот ему (с некоторой долей вероятности) это помешает использовать скан против меня.
Подобные атаки работают против конкретных нейросетей. Стоит немного дообучить нейросеть, а тем более обучить заново и эффективность атаки падает.
Поэтому просьба к автору сделать следующий эксперимент: на той же архитектуре ResNet-18 проводим повторное обучение (возможно на другом обучающем наборе). Получаем похожую нейросеть (с точностью 99%). И пробуем прогнать все картинки из экспериментов на первой нейросети. Почти уверен, что там, где первая нейросеть просела до 80% вторая нейросеть просядет только до 95%. Всё потому, что мы атакуем первую нейросеть.
Можно ли атаковать сразу две нейросети? Можно, но чуть сложнее.
Градиенты наносят ответный удар: атакуем распознавание паспорта