Успешная имперсонификация в системе распознавания лиц. Слева: актриса Риз Уизерспун, личность которой нейросеть распознаёт с вероятностью 100%. В центре: очки, подобранные для имперсонификации актёра Рассела Кроу. Справа: жертва имперсонификации

Благодаря нейросетям системы машинного зрения достигли рекордной точности результаты в распознавании лиц. Личность человека почти безошибочно распознаётся даже на смазанных фотографиях и на тех, где лицо видно лишь частично. Созданы алгоритмы, которые учитывают контекст: одежду, окружение, походку. Пока это лишь передовые технологические разработки. Но учитывая всемирную истерию вокруг терроризма и безопасности (хотя от терроризма погибает в 53 раза меньше людей, чем в ДТП), очень скоро подобные программы распознавания будут без всякого сомнения подключены к миллионам видеокамер наружного наблюдения в общественных местах. Вопрос в том, какие есть методы, чтобы бороться с такой слежкой?

С распознаванием лиц очень тяжело бороться, но учёные всё-таки пытаются найти «уязвимости» в системах распознавания лиц. Чтобы обмануть такую систему, требуется специфическим образом изменить физическую внешность. Нет никаких проблем накинуть капюшон или надеть большие тёмные очки. Но это подозрительно — человека с закрытым лицом может задержать полиция или охранники. Должны быть более интеллектуальные способы. Некие маленькие изменения наверняка могут эффективно обойти компьютерную систему распознавания, но при этом почти никак не повлияют на восприятие человека в глазах окружающих и ни у кого не вызовет подозрения.

Задача аналогична той, какую решают распространители спама для обхода спам-фильтров. Им нужно, чтобы сообщение дошло до потребителей в удобочитаемом виде, но при этом обошло компьютерные фильтры. Так и здесь — лицо должно быть открыто и хорошо распознаваться людьми, но не должно распознаваться нейросетью.


Лицо злоумышленника (слева), иллюстрация атаки (в центре) и жертва имперсонификации (справа)

В идеале, открытое лицо человека должно распознаваться системой как чужое лицо, по образцу замены глаза у главного героя фильма «Особое мнение». В этом случае у охранников и полиции вообще не будет никаких претензий, а человек сможет свободно перемещаться по общественным местам, которые сканируются камерами видеонаблюдения.

Важно понимать, какие именно изменения сильнее всего ударят по алгоритмам работы нейросетей в распознавании лиц. Группа исследователей из Университета Карнеги-Меллона подробно изучила вопрос и на днях опубликовала результаты своего исследования на эту тему. Фактически, исследователи ведут речь о новом типе атак.

Атаки, которые физически меняют внешность, но при этом выглядят безобидными для внешнего наблюдателя.

В отличие от других подобных атак, в данном случае исследователи сконцентрировались на факторе «безобидности», чтобы факт манипуляции нейросетью не вызвал никаких подозрений у посторонних людей, в том числе у охранников, которые просматривают видеопоток с камер наблюдения.

Учёные выяснили, что в данном случае эффективнее всего использовать очки со специально подобранным паттерном, который воздействует на нейросеть для распознавания лиц. Тестирование систем распознавания лиц определило, что самое уязвимое место нейросетей — сравнение окраски соседних пикселей в конкретных местах лица вокруг глаз.

«Безобидность» — это действительно важно, потому что в случае задержания у человека будет возможность эффективно отрицать злой умысел. Никто не сможет доказать, что эти очки специально созданы для обмана системы распознавания лиц, а не имеют случайную раскраску.

Исследователи предложили два варианта проведения атаки: на имперсонификацию и на уклонение. В первом случае стоит задача выдать лицо человека в очках за лицо конкретного другого человека. В случае атаки на уклонение стоит задача выдать лицо человека в очках за лицо любого другого человека.

Как показали тесты на реальных системах распознавания лиц, такие очки возможно создать в большинстве случаев для некоторых лиц. Например, для лица белого мужчины специально подобранные очки имперсонифицируют личность Милы Йовович в 87,87% случаев. Три автора научной работы (три белых мужчины) испытали очки на себе и заявили, что напечатанные очки с специфическим паттерном позволяют провести атаку на уклонение в 80% случаев против самых современных коммерческих систем распознавания лиц.

Конечно, успех атаки на имперсонификации во многом зависит от расы и цвета кожи злоумышленника. Например, южно-азиатская женщина способна имперсонифицировать ближневосточного мужчину в 88% случаев, а вот ближневосточный мужчин может выдать себя за Клайва Оуэна (белый мужчина) только в 16,13% случаев.

Тестирование систем производилось на системе распознавания лиц Face++, а также в системе обнаружения лиц по самому распространённому на сегодняшний день методу Виолы-Джонса. Предложенный в 2001 году алгоритм Виолы-Джонса реализован во множестве популярных программ, в том числе в библиотеке компьютерного зрения OpenCV. Он находит лица с высокой точностью и низким количеством ложных срабатываний.

Учёные оптимизировали алгоритм, чтобы внешний вид очков был наиболее красивым, с мягкими переходами цветом, и подходил для печати на обычном принтере.



Исследователи оценивают, что печать оправы и бумажных очков для обхода современных систем распознавания лиц обойдётся примерно в 22 цента. Для проверки эффективности системы уклонения от распознавания были выбраны 20 случайных фотографий из базы фотографий лиц PubFig. Применение стандартных очков позволило провести атаку на уклонение в 19 случаях из 20, а использование вспомогательных аксессуаров (контактные линзы, зимняя шапка и др.) повысило успешность атаки до 100%. Учёные также обращают внимание, что метод успешно срабатывает не только в системах распознавания лиц с открытым исходным кодом, но и на системах типа black box.