Успешная имперсонификация в системе распознавания лиц. Слева: актриса Риз Уизерспун, личность которой нейросеть распознаёт с вероятностью 100%. В центре: очки, подобранные для имперсонификации актёра Рассела Кроу. Справа: жертва имперсонификации
Благодаря нейросетям системы машинного зрения достигли рекордной точности результаты в распознавании лиц. Личность человека почти безошибочно распознаётся даже на смазанных фотографиях и на тех, где лицо видно лишь частично. Созданы алгоритмы, которые учитывают контекст: одежду, окружение, походку. Пока это лишь передовые технологические разработки. Но учитывая всемирную истерию вокруг терроризма и безопасности (хотя от терроризма погибает в 53 раза меньше людей, чем в ДТП), очень скоро подобные программы распознавания будут без всякого сомнения подключены к миллионам видеокамер наружного наблюдения в общественных местах. Вопрос в том, какие есть методы, чтобы бороться с такой слежкой?
С распознаванием лиц очень тяжело бороться, но учёные всё-таки пытаются найти «уязвимости» в системах распознавания лиц. Чтобы обмануть такую систему, требуется специфическим образом изменить физическую внешность. Нет никаких проблем накинуть капюшон или надеть большие тёмные очки. Но это подозрительно — человека с закрытым лицом может задержать полиция или охранники. Должны быть более интеллектуальные способы. Некие маленькие изменения наверняка могут эффективно обойти компьютерную систему распознавания, но при этом почти никак не повлияют на восприятие человека в глазах окружающих и ни у кого не вызовет подозрения.
Задача аналогична той, какую решают распространители спама для обхода спам-фильтров. Им нужно, чтобы сообщение дошло до потребителей в удобочитаемом виде, но при этом обошло компьютерные фильтры. Так и здесь — лицо должно быть открыто и хорошо распознаваться людьми, но не должно распознаваться нейросетью.
Лицо злоумышленника (слева), иллюстрация атаки (в центре) и жертва имперсонификации (справа)
В идеале, открытое лицо человека должно распознаваться системой как чужое лицо, по образцу замены глаза у главного героя фильма «Особое мнение». В этом случае у охранников и полиции вообще не будет никаких претензий, а человек сможет свободно перемещаться по общественным местам, которые сканируются камерами видеонаблюдения.
Важно понимать, какие именно изменения сильнее всего ударят по алгоритмам работы нейросетей в распознавании лиц. Группа исследователей из Университета Карнеги-Меллона подробно изучила вопрос и на днях опубликовала результаты своего исследования на эту тему. Фактически, исследователи ведут речь о новом типе атак.
Атаки, которые физически меняют внешность, но при этом выглядят безобидными для внешнего наблюдателя.
В отличие от других подобных атак, в данном случае исследователи сконцентрировались на факторе «безобидности», чтобы факт манипуляции нейросетью не вызвал никаких подозрений у посторонних людей, в том числе у охранников, которые просматривают видеопоток с камер наблюдения.
Учёные выяснили, что в данном случае эффективнее всего использовать очки со специально подобранным паттерном, который воздействует на нейросеть для распознавания лиц. Тестирование систем распознавания лиц определило, что самое уязвимое место нейросетей — сравнение окраски соседних пикселей в конкретных местах лица вокруг глаз.
«Безобидность» — это действительно важно, потому что в случае задержания у человека будет возможность эффективно отрицать злой умысел. Никто не сможет доказать, что эти очки специально созданы для обмана системы распознавания лиц, а не имеют случайную раскраску.
Исследователи предложили два варианта проведения атаки: на имперсонификацию и на уклонение. В первом случае стоит задача выдать лицо человека в очках за лицо конкретного другого человека. В случае атаки на уклонение стоит задача выдать лицо человека в очках за лицо любого другого человека.
Как показали тесты на реальных системах распознавания лиц, такие очки возможно создать в большинстве случаев для некоторых лиц. Например, для лица белого мужчины специально подобранные очки имперсонифицируют личность Милы Йовович в 87,87% случаев. Три автора научной работы (три белых мужчины) испытали очки на себе и заявили, что напечатанные очки с специфическим паттерном позволяют провести атаку на уклонение в 80% случаев против самых современных коммерческих систем распознавания лиц.
Конечно, успех атаки на имперсонификации во многом зависит от расы и цвета кожи злоумышленника. Например, южно-азиатская женщина способна имперсонифицировать ближневосточного мужчину в 88% случаев, а вот ближневосточный мужчин может выдать себя за Клайва Оуэна (белый мужчина) только в 16,13% случаев.
Тестирование систем производилось на системе распознавания лиц Face++, а также в системе обнаружения лиц по самому распространённому на сегодняшний день методу Виолы-Джонса. Предложенный в 2001 году алгоритм Виолы-Джонса реализован во множестве популярных программ, в том числе в библиотеке компьютерного зрения OpenCV. Он находит лица с высокой точностью и низким количеством ложных срабатываний.
Учёные оптимизировали алгоритм, чтобы внешний вид очков был наиболее красивым, с мягкими переходами цветом, и подходил для печати на обычном принтере.
Исследователи оценивают, что печать оправы и бумажных очков для обхода современных систем распознавания лиц обойдётся примерно в 22 цента. Для проверки эффективности системы уклонения от распознавания были выбраны 20 случайных фотографий из базы фотографий лиц PubFig. Применение стандартных очков позволило провести атаку на уклонение в 19 случаях из 20, а использование вспомогательных аксессуаров (контактные линзы, зимняя шапка и др.) повысило успешность атаки до 100%. Учёные также обращают внимание, что метод успешно срабатывает не только в системах распознавания лиц с открытым исходным кодом, но и на системах типа black box.
Комментарии (14)
sumanai
03.11.2016 18:10Не нашёл главного- где ссылка на гитхаб с соответствующим софтом, чтобы себе такие очки напечатать?
sens_boston
03.11.2016 19:33Я думаю, что такие вот очки https://www.amazon.com/Wayfarer-Rainbow-Mirrored-Sunglasses-Orange/dp/B01HSARLOC или такие https://www.amazon.com/Torege-Polarized-Sunglasses-Interchangeable-Transparent/dp/B01KSVZ6BI тоже сработают.
Правда, есть другая опасность: в некоторых странах радужность оправы могут неправильно истолковать, и повредить лицо без всякой нейросети :Dsumanai
03.11.2016 20:47Вряд ли. Тут суть как раз в использовании багов нейросетей, и не всякая цветная мазня подойдёт, тут всё индивидуально.
sens_boston
04.11.2016 01:14+1Смеха ради, попробуйте вышеупомянутый Face++ — он «лажается» не то, что на очках (без разницы, радужных, «специальных» или обычных), но даже на простых фотках знаменитостей! Я попробовал распознать (через Face search) Пола МакКартни, Джона Леннона, Элвиса Пресли — 0 (zero) попаданий ВООБЩЕ.
perfect_genius
03.11.2016 21:57+3Блин, шапочка из фольги такая неудобная. Теперь ещё и уши душками этих очков натирать…
General_Failure
04.11.2016 07:12А если очки в шапочке прикрепить, сделав забрало, как было в средневековых доспехах?
artemerschow
04.11.2016 00:54Что я делаю не так? :(Larsen4893
04.11.2016 09:54«Группа исследователей из Университета Карнеги-Меллона», «Исследователи ведут речь о новом типе атак», «Позволяют провести атаку на уклонение в 80% случаев против самых современных коммерческих систем распознавания лиц.»
Заголовок спойлераkraidiky
04.11.2016 11:14Беда только что очки специфичны для строго определённой распознающей сети, другая соседняя сеть обманывается другими паттернами.
Да и вообще, всё это говорит о том, на сколько уныло низкие способности к обобщению у современных сетей такого типа и какое огромное количество лишней информации они считают значимыми.
apetrovichev
Круто. Теперь надо сделать очки для имперсонификации себя, когда они надеты на других людей, и имперсонификации Рассела Кроу когда они на мне.
Boomburum
Очки нннада?
BalinTomsk
надо чтобы оправа была как OLED дисплей и регулярно каждые 100 метров менять личность