Защита фото от систем распознавания лиц работает?

image

За последние полтора месяца (с начала августа 2020) уже довольно много изданий/платформ и ресурсов говорили/писали про Алгоритм Fawkes: https://sandlab.cs.uchicago.edu/fawkes/#press.

Среди которых и Habr, The New York Times, The Verge и т.д.

Действительно, в наше время (тихий 2020 год) довольно актуальна тема со слежкой опознанием граждан по камерам наблюдения и поиск частными лицами по фото (FindFace, etc).

Исследователи из Чикагского университета придумали алгоритм клоакинга, для защиты от распознавания лиц. Выложили исходники на github: https://github.com/Shawn-Shan/fawkes.

В августе я прочитал про этот инструмент (Алгоритм Fawkes). И решил заменить свои фото в социальных сетях и на всех интернет ресурсах, где есть мои реальные фото.

Но, для начала, решил испробовать данный инструмент на своих фото:

  • запускается ли fawkes;
  • проверить собственными глазами результат работы fawkes;
  • проверить на заявленных ресурсах (теми же инструментами, что и автор fawkes проверял свой алгоритм).

Благо на https://github.com/Shawn-Shan/fawkes есть довольно подробная и простая инструкция по работе с fawkes.

Создателем fawkes заявлено, что алгоритм защищает от:

  • Microsoft Azure Face API,
  • Amazon Rekognition Face Verification,
  • Face++ Face Search API.

Данный список указан в «Technical Paper»:

image

На личном сервере собрал из исходников: git clone; pip3 install fawkes. Это было не просто, а очень просто.

Закинул свое фото на сервер «r1.jpg». И по инструкции обработал это фото с помощью fawkes.
На выходе получил второе фото: «r1_min_cloaked.png». Ура, я получил «клоакнутое» фото. Открыл фото «r1_min_cloaked.png» — посмотреть своими глазами. Изменения заметны, но не критичны. Вокруг глаз, переносицы и носа — есть не значительные затемнения.

image

После этого решил проверить результат («r1_min_cloaked.png») на сервисах «Microsoft Azure Face API», «Amazon Rekognition Face Verification» и «Face++ Face Search API».

Результат:

r1-and-r1_cloacked

Как видим — нейросеть «Microsoft Azure Face API» показала, что оригинальное фото (слева на скриншоте) и фото после обработки (справа на скриншоте) — один человек. Аналогичные цифры показали и остальные инструмента проверки: нейросети «Amazon Rekognition Face Verification» и «Face++ Face Search API».

То же самое с «защитой» фото других людей/персон:

r1_and_cat

obama_origin_and_cloacked

emily_origin_and_cloacked

queen_origin_and_cloacked_faceplusplus

obama_origin_and_cloacked_faceplusplus

То есть по состоянию на середину сентября «Fawkes» не работает. Возможно, конечно, «Fawkes» работала в августе 2020 года. Но в сентябре 2020 году — уже не работает.

Неделю назад писал письмо разработчику «Fawkes» и его команде «Fawkes team», с просьбой помочь подтвердить работу алгоритма. Но ответного письма пока не получил.

На данный момент я так и не смог подтвердить работу «Fawkes».

Средняя зарплата в IT

111 380 ₽/мес.
Средняя зарплата по всем IT-специализациям на основании 7 299 анкет, за 2-ое пол. 2020 года Узнать свою зарплату
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 26

    +8
    Неделю назад писал письмо разработчику «Fawkes» и его команде «Fawkes team», с просьбой помочь подтвердить работу алгоритма. Но ответного письма пока не получил.


    А почему не issue на гитхабе?
      0
      Да, туда тоже напишу. Спасибо. Руки не дошли.
      +3
      А вы пробовали скормить проверялкам клоакнутое фото и другие свои фото, а не собственно оригинал?
        0
        — То есть взять два фото оригинала r1.jpg/r2.jpg.
        — Клоакнуть их.
        — Получатся ещё два новых: r1_min_cloaked.png/r2_min_cloaked.png.
        — И в «проверялках» сравнить: r1_min_cloaked.png и r2_min_cloaked.png?
          0
          Проверил только, что два «клоакнутых» фото (получены из разных исходников/оригинальных фото, но один человек).
          Результат: Confidence is 0.87441.

          Проверял тут: azure.microsoft.com/en-us/services/cognitive-services/face/#demo
            0

            нет, сравнить оригинал r1.jpg и r2_min_cloaked.png

              0
              Confidence is 0.90067.
                0

                А если отзеркалить?

                  0
                  Confidence is 0.90263.

                  Разные фото и второе «обработанное» (r1.jpg и r2_min_cloaked.png), а потом второе отзеркаленно.
          +3
          Обама на фото после обфускации чем-то неуловимо напоминает сильно загоревшего октёра Панина
            0

            Если маску одеть, то алгоритм работает почти в ста процентах случаев)
            Тени под глазами… да в понедельник или после праздников половина банкоматов с биометрией бы глючила, но нет...))

              +4
              Напомнило
              image
                +2

                Отличный фильм, кто не смотрел, обязательно посмотрите. "Помутнение", или "Scanner Darkly". Оригинальный роман Филиппа Дика не менее крут.

                +5
                То есть по состоянию на середину сентября «Fawkes» не работает. Возможно, конечно, «Fawkes» работала в августе 2020 года. Но в сентябре 2020 году — уже не работает.


                А мне кажется, что из вашей проверки еще нельзя сделать такой вывод. Наверное весь смысл программы fawkes не в том чтобы из вашего фото делать «самку горилы», а чтобы другие люди не могли пропарсив интернет по одному вашему фото найти все остальные без больших усилий. У меня нет достаточных навыков программиста, но методику эксперимента я вам попробую накидать:

                1)Возьмите достаточно большую базу фотографий и присоедините с десяток своих снимков.
                2)Используя еще одно изображение своей персоны, определите каков должен быть порог срабатывания алгоритмов поиска лиц, чтобы среди отобранных ими оказалось по крайней мере 70% добавленных вами изображений себя. Запомните число n всех отобранных фотографий, понятное дело туда попадут снимки не только вас, но и похожих на вас людей
                3)Измените с помощью fawkes все свои фото в датасете, кроме эталонного. Снова найдите такой порог срабатывания программ распознавания, при котором в отобранной ими группе фотографий будут присутствовать по крайней мере 70% всех добавленных вами фото завуалированного себя. Посчитайте число m всех фото в отобранной группе.
                4) Найдите отношение m/n. Если оно порядка 100, значит оксфордская программа работает «зашибись», если порядка 10, то — на троечку, ну а если порядка 2-3, то пишите разгромный пост на английском.

                Методика придумана на коленке за пять минут, возможны уточнения и дополнения, и как всегда: «перед применение проконсультируйтесь со специалистом»
                  0
                  Соглашусь. Я пробовал найти себя по фото, обработанным Fawkes, с помощью сервиса поиска по фото в вк и точность распознавания стала гораздо ниже
                    0
                    Спасибо за предложение. Конструктивно.
                    Уточню:
                    определите каков должен быть порог срабатывания алгоритмов поиска лиц

                    что понимается под порогом срабатывания алгоритмов поиска? Из фразы выше, как мне кажется, следует, что я могу управлять порогом алгоритмов поиска.

                    И второй вопрос, если позволите:
                    что имеется ввиду под «алгоритмами поиска»?
                      0
                      Насколько я мог заметить по скриншоту программы сличения лиц дают некоторую числовую оценку похожести от 0 до 1. Теперь о том, как с помощью такой программы сделать свой алгоритм поиска лиц с порогом срабатывания Δ. Возьмем эталонную фотографию и скаждым фото из датасете определим числовую величину ее схожести. Отберем все фото датасета, схожесть которых с эталонной оказалась не меньше Δ. В моем ответе предполагалось, что Δ может иметь значения в некой дискретной шкале, например с шагом в 1/100, поэтому там и появилась фраза: наибольший порог срабатывания, при котором среди подмешенных фотографий алгоритм поиска отбирает не менее 70%. С процентом тоже можно поиграться, разумеется.
                        0
                        Ок. Спасибо за развёрнутое пояснение.
                    +3

                    В оригинальной статье:


                    • Experiments show 100% success against state-of-the-art facial recognition services from Microsoft (Azure Face API), Amazon (Rekognition), and Face++. We first “share” our own (cloaked) photos as training data to each service, then apply the resulting models to uncloaked test images of the same person.
                    • In challenging scenarios where clean, uncloaked images are “leaked” to the tracker and used for training, we show how a single Sybil identity can boost privacy protection. This results in 80+% success in avoiding identification even when half of the training images are uncloaked.

                    Здесь же проверяется схожесть попарных сравнений. Задачу в такой формулировке решать проще и ответ будет иметь больший confidence rate просто исходя из суженной постановки. Снижение confidence rate на 2-3% для одинаковых фотографий в попарных сравнениях — это скорее "работает", а не "не работает". Если бы задача была переформулирована как поиск ближайших соседей в пространстве, составленном из сотен тысяч эмбедингов лиц, то кмк такие искажения от Fawkes запросто могли бы снизить точность угадывания до озвученных в статье (0%).


                    В общем, проверяется не то, о чем говорят авторы Fawkes, снижение confidence rate интерпретируется как незначительное и делается вывод о том, что подход не работает. Не надо так.

                      0

                      Поиграйся с этим параметром


                      -m, --mode : the tradeoff between privacy and perturbation size. Select from min, low, mid, high. The higher the mode is, the more perturbation will add to the image and provide stronger protection.


                      А то выбрал min и удивляешься что нет результата

                        +1
                        Что мешает нейросетям, распознающим лица, брать все загруженные фото, обрабатывать алгоритмом fawkes — и делать два сравнения?
                          +1

                          То, что в fawkes используется рандомизация и два запуска не дадут одинаковые результаты.

                            0
                            одинаковые и не нужны
                          +1
                          И решил заменить свои фото в социальных сетях и на всех интернет ресурсах, где есть мои реальные фото.

                          Сначала было дёрнулся, а потом понял, что в интернете нет моих фото.
                            0
                            Я бы не был столь уверен, учитывая, что родственники, друзья и уличные камеры любят публиковать материалы без спроса.
                              0
                              Вы следите за мной? Надеюсь, эти родственники хоть не подписывают эти фото!

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое