一个相片「隐身衣」，让微软旷视人脸辨认系统100%失灵｜开源

左图，右图，你能看出区别吗？

其实，算法现已悄悄给右边的相片加上了细小的修正。

但便是这样肉眼底子看不出来的扰动，就能100%骗过来自微软、亚马逊、旷视——全球最先进的人脸辨认模型！

所以含义安在？

这代表着你再也不用忧虑po在网上的相片被某些软件扒得干干净净，打包、分类，几毛钱一整份卖掉喂AI了。

这便是来自芝加哥大学的最新研讨：给相片加上一点肉眼看不出来的修正，就能让你的脸成功「隐形」。

如此一来，即便你在网络上的相片被非法抓取，用这些数据练习出来的人脸模型，也无法真正成功辨认你的脸。

给相片穿上「隐身衣」

这项研讨的目的，是协助网友们在共享自己的相片的一起，还能有效维护自己的隐私。

因此，「隐身衣」自身也得「隐形」，防止对相片的视觉作用产生影响。

也便是说，这件「隐身衣」，其实是对相片进行像素等级的细小修正，以遮盖AI的审视。

其实，关于深度神经网络而言，一些带有特定标签的细小扰动，就可以改动模型的「认知」。

比如，在图画里加上一点噪声，熊猫就变成了长臂猿：

Fawkes便是使用了这样的特性。

用 x 指代原始图片，xT为另一种类型/其他人脸相片，φ 则为人脸辨认模型的特征提取器。

具体而言，Fawkes是这样规划的：

第一步：挑选方针类型 T

指定用户 U，Fawkes的输入为用户 U 的相片调集，记为 XU。

从一个包括有许多特定分类标签的揭露人脸数据集中，随机选取 K 个候选方针类型机器图画。

使用特征提取器 φ 计算每个类 k=1…K 的特征空间的中心点，记为 Ck。

然后，Fawkes会在 K 个候选调集中，选取特征表明中心点与 XU 中所有图画的特征表明差异最大的类，作为方针类型 T。

第二步：计算每张图画的「隐身衣」

随机选取一幅 T 中的图画，为 x 计算出「隐身衣」δ(x, xT) ，并按照公式进行优化。

其间 |δ(x, xT)| < ρ。

研讨人员选用DDSIM（Structural Dis-Similarity Index）方法。在此基础上进行隐身衣的生成，能保证隐死后的图画与原图在视觉作用上高度一致。

实验结果表明，无论人脸辨认模型被练习得多么刁钻，Fawkes都能提供95％以上有效防护率，保证用户的脸不被辨认。

即便有一些不小心走漏的未遮挡相片被参加人脸辨认模型的练习集，通过进一步的扩展规划，Fawkes也可以提供80%以上的防辨认成功率。

在Microsoft Azure Face API、Amazon Rekognition和旷视Face Search API这几个最先进的人脸辨认服务面前，Fawkes的「隐身」作用则达到了100%。

现在，Fawkes已开源，Mac、Windows和Linux都可以使用。

装置简易便利

这儿以Mac系统为例，简单介绍一下软件的使用方法。使用的笔记本是MacBook Air，1.1GHz双核Intel Core i3的处理器。

首先，咱们从GitHub上下载压缩装置包，并进行解压。

接下来，把想要修正的所有相片放入一个文件夹里，并记住途径。

以桌面上的一个名为test_person的图片文件夹为例，里边咱们放了三张相片，其间一张图片包括两个人。

这儿的图片途径是~/Desktop/test_person，根据你的图片保存位置来确认。

接下来，打开启动台中的终端，进入压缩包地点的文件夹。

注意，假如MacOS是Catalina的话，需要先修正一下权限，以管理员身份运转，sudo spctl —master-disable就可以了。

这儿咱们的压缩包直接放在下载的文件夹里，直接cd downloads就行。

进入下载文件夹后，输入./protection -d 文件途径（文件途径是图片文件夹地点的位置，这儿输入~/Desktop/test_person），运转生成图片的「隐身衣」。

嗯？不错，看起来竟然能辨认一张图中的2个人脸。

缓慢地运转……

据作者介绍说，生成一张「隐身衣」的速度平均在40秒左右，速度仍是比较快的。

假如电脑装备够好，应该还能再快点。

不过，双核的就不奢求了…咱们耐心地等一下。

从时间看来，处理速度还算可以接受。

Done！

图中来看，生成3张图片的「隐身衣」，电脑用了大约7分钟（一定是我的电脑太慢了）。

来看看生成的结果。

可以看见，文件夹中的3张图片，都生成了带有_low_cloaked的后缀名的图片。

虽然介绍里说，生成的后缀是_mid_cloaked的图片，不过软件提供的形式有「low」、「mid」、「high」、「ultra」、「custom」几种，所以不同的形式会有不同的后缀名。

以川普为例，来看看实际作用。

两张图片几乎没有不同，并没有变丑，川普脸上的皱褶看起来还光滑了一点。

这样，咱们就能放心地将通过处理后的人脸相片放到网上了。

即便被某些不怀好意的有心之人拿去使用，被盗用的数据也并不是咱们的人脸数据，不用再忧虑隐私被走漏的问题。

不仅如此，这个软件还能「补救」一下你在交际网站上晒出的各种人脸数据。

例如，你曾经是一名冲浪达人，之前会将很多的生活照po到交际网站上——

相片可能现已被软件扒得干干净净了……

不用忧虑。

假如放上这些通过处理后的图片，这些主动扒图的人脸辨认模型会想要增加更多的练习数据，以进步准确性。

这时候，穿上「隐身衣」图片在AI看来甚至「作用更好」，就会将原始图画作为异常值放弃。

华人一作

论文的一作是华人学生单思雄，高中毕业于北京十一校园，现在刚拿到了芝加哥大学的学士学位，将于9月份入学攻读博士学位，师从赵燕斌教授和Heather Zheng教授。

作为芝加哥大学SAND Lab实验室的一员，他的研讨主要侧重于机器学习和安全的交互，像如何使用不被察觉的细微数据扰动，去维护用户的隐私。

从单同学的推特来看，他一直致力于在这个「透明」的世界中，为咱们争夺一点仅存的隐私。

论文的一起一作Emily Wenger同样来自芝加哥大学SAND Lab实验室，正在攻读CS博士，研讨方向是机器学习与隐私的交互，现在正在研讨神经网络的缺点、局限性和可能对隐私造成的影响。