現(xiàn)在，越來越多的工具可以用來防止面部識別系統(tǒng)對私人照片的訓(xùn)練

將個人照片上傳到互聯(lián)網(wǎng)似乎是件很輕松的事，那么問題來了，照片在互聯(lián)網(wǎng)上發(fā)布之后，誰可以訪問它們?如何處理它們?用哪些機器學(xué)習算法來訓(xùn)練它們?

[[420027]]

Clearview公司已經(jīng)為美國執(zhí)法機構(gòu)提供了一個面部識別工具，利用這個工具訓(xùn)練了公共網(wǎng)絡(luò)上數(shù)百萬張私人照片，這似乎只是一個開始。任何擁有基本編碼技能的人都可以開發(fā)面部識別軟件，這意味著從性騷擾、種族歧視、政治壓迫和宗教迫害等多個角度來看，這項技術(shù)比以往任何時候都更有可能被濫用。

許多人工智能研究人員正在推動并開發(fā)讓AI無法從個人數(shù)據(jù)中學(xué)習的方法。本周，最新的兩項報告將在人工智能會議ICLR上發(fā)表。

芝加哥大學(xué)的艾米麗·溫格說“我不喜歡人們從我這拿走不屬于他們的東西，我想很多人也有類似的想法。” 去年夏天，溫格和她的同事們開發(fā)出了最早的防AI工具。

數(shù)據(jù)中毒并不是件新鮮事。通過刪除公司的數(shù)據(jù)，或者用偽示例污染數(shù)據(jù)集，從而使得公司更難訓(xùn)練出精確的機器學(xué)習模型。但這些努力通常需要采取集體行動，有數(shù)百萬或成千上萬的人參與，才能產(chǎn)生影響。溫格新技術(shù)的獨到之處在于：可以通過一張人臉照片便能達到目的。

澳大利亞迪肯大學(xué)的丹尼爾·馬說，“這項技術(shù)可以利用單個人的照片作為密鑰來鎖定數(shù)據(jù)，在人工智能時代，它是保護人們數(shù)字權(quán)利的新一線防御工具。”

隱匿于視野中

包括Fawke在內(nèi)，目前大多數(shù)工具都采用了同樣的基本方法：對圖像進行微小的改動，這些改動很難被人眼識別，但卻能騙過人工智能，使得人工智能錯誤地識別出照片中的具體信息。這種技術(shù)非常接近于對抗性攻擊，輸入數(shù)據(jù)的微小變動會迫使深度學(xué)習模型犯大錯。

給Fawkes輸入一組自拍照，它就會給圖像添加像素級的擾動，從而阻止最先進的面部識別系統(tǒng)識別照片中是誰。與先前的方法不同，它沒有對圖像做明顯的改動。

溫格和她的同事們在一些廣泛使用的商業(yè)面部識別系統(tǒng)上測試了這一工具，包括亞馬遜的AWS識別系統(tǒng)、微軟的Azure和中國Megvii技術(shù)公司開發(fā)的Face++系統(tǒng)。在一個包含50張圖像的數(shù)據(jù)集的小實驗中，F(xiàn)awkes對所有圖像都100%有效，經(jīng)過調(diào)整的人圖像訓(xùn)練的模型無法在新圖像中識別這些人的圖像。篡改后的訓(xùn)練圖像阻止了這些工具準確表達出人的表情。

Fawkes項目網(wǎng)站上已經(jīng)有了近50萬次的下載量。其中的一個用戶還搭建了一個在線版本，使人們更容易使用(盡管溫格不會對第三方使用代碼做出保證，并警告說：“您并不知道處理數(shù)據(jù)時發(fā)生了什么。”)。目前還沒有手機應(yīng)用程序，但也無法阻止有人制作一個手機應(yīng)用程序，溫格說。

Fawkes會阻止一個新的面部識別系統(tǒng)識別你——下一個是Clearview。但它無法破壞在未保護圖像上已經(jīng)訓(xùn)練好的現(xiàn)有系統(tǒng)。然而，這項技術(shù)一直在不斷改進。溫格認為，由瓦萊里亞·切雷帕諾瓦和她在馬里蘭大學(xué)的同事們開發(fā)的一個工具，很可能會解決上述問題。

該工具名為LowKey，通過基于一種更強大的對抗性攻擊，對圖像應(yīng)用擾動實現(xiàn)對Fawkes的擴展，騙過了預(yù)先訓(xùn)練好的商業(yè)模型。和Fawkes一樣，也可以在網(wǎng)上找到LowKey。

馬和他的同事們開發(fā)出了更為強大的工具，將圖像變成所謂的無法學(xué)習的示例，有效地讓人工智能完全忽略你的自拍。溫格說：“我認為這非常棒，F(xiàn)awkes可以騙過人工智能模型，讓訓(xùn)練得出錯誤的結(jié)果，而這個工具使得訓(xùn)練模型對你一無所知。”

圖中上面三張照片是從網(wǎng)上下載的圖片，將它們變成了下面三張無法學(xué)習的示例，面部識別系統(tǒng)忽略了它們的存在。

與Fawkes不同的是，無法學(xué)習的示例并不是基于對抗性攻擊。馬的團隊沒有引入對圖像的改變，迫使人工智能犯錯誤，而是增加了微小的變動，使得人工智能在訓(xùn)練過程中忽略掉它。當稍后顯示圖像時，它對圖像中內(nèi)容的評估并不比隨機猜測出的結(jié)果要好多少。

實驗證明，無法學(xué)習的示例比對抗性攻擊更為有效，因為它們無法實現(xiàn)逆向訓(xùn)練。人工智能看到示例的對抗性越強，就越容易識別出它們，但是馬和他的同事們從根本上便阻止了人工智能進行圖像訓(xùn)練。

溫格已經(jīng)投入了一場正在進行的新戰(zhàn)斗，她的團隊最近注意到，微軟Azure的面部識別服務(wù)不再被他們的某些圖像所欺騙。她說：“對于我們生成的隱藏圖像，它的魯棒性突然變得非常強大。不知道其中發(fā)生了什么事。”

微軟可能已經(jīng)改變了的算法，或者人工智能可能已經(jīng)訓(xùn)練了足夠多的Fawkes影像，已經(jīng)學(xué)會了如何識別它們。無論如何，溫格的團隊上周發(fā)布了工具的更新版本，再次對抗Azure。“這是另一場貓鼠軍備競賽。”她說。

對溫格來說，這是一個關(guān)于互聯(lián)網(wǎng)的故事。她說：“像Clearview這樣的公司正在利用免費獲得的數(shù)據(jù)，做他們想做的事情。”

從長遠來看，監(jiān)管可能會有幫助，但這并不能阻止公司利用漏洞。她說：“法律上可以接受的東西和人們真正想要的東西之間總是會有脫節(jié)。像Fawkes這樣的工具正是填補了這個空白。