Obrazy w pikselach nie pasują do rozpoznawania twarzy Cornell Tech A.I.

Trzech naukowców z Cornell Tech w Nowym Jorku odkryło, że zamazane i pikselowane obrazy nie pasują do sztucznej inteligencji. Choć zasłonięte obrazy pozostają niezrozumiałe dla ludzkich oczu i zdają się chronić ich wrażliwą treść, sieci neuronowe często mogą dokładnie określić, kto jest kim na oryginalnym obrazie.

Innymi słowy, ludzie nie są już papierkiem lakmusowym. Nie możemy dłużej pytać, czy coś pokonuje wszystkie ludzkie mózgi. A.I.s - nawet proste A.I.s - mogą przewyższać ludzi, więc ich pokonanie musi być zawsze częścią równania.

Badanie naukowców z Cornell Tech skupiło się na testowaniu algorytmów chroniących prywatność, które rozmazują lub pikselują określone informacje lub części obrazów. Wcześniej zaufaliśmy niejawnie oprogramowaniu lub algorytmom chroniącym prywatność, uważając, że informacje, które zasłaniają, są bezpieczne, ponieważ nie człowiek mógł powiedzieć, kto był za cyfrową zasłoną. Badanie pokazuje, że ta era się skończyła, a związane z nią metody anonimizacji również nie potrwają długo. Sieci neuronowe, spełniające te środki ochrony prywatności, są niezachwiane.

Richard McPherson jest doktorem kandydat w dziedzinie informatyki na University of Texas w Austin, który podążał za swoim profesorem Witalijem Szmatikowem do Cornell Tech. Razem z Rezą Shokri wykazali, że proste sieci neuronowe mogą demaskować typowe techniki zaciemniania obrazów. Technika ta jest stosunkowo niewyszukana, co sprawia, że ​​odkrycie jest bardziej niepokojące: są to powszechne, dostępne metody, które były w stanie pokonać normy przemysłowe dotyczące zaciemniania.

Sieci neuronowe są dużymi, warstwowymi strukturami węzłów lub sztucznych neuronów, które naśladują podstawową strukturę mózgu. Są „oparte na uproszczonym zrozumieniu działania neuronów” - mówi McPherson Odwrotność. „Daj mu trochę danych, a neuron albo wystrzeli, albo nie wystrzeli”.

Są również zdolni do „uczenia się” poprzez przybliżoną definicję tego terminu. Jeśli pokażesz dzikiemu (całkowicie niewykształconemu) człowiekowi coś „czerwonego” i powiesz mu, żeby wybrał wszystkie „czerwone” rzeczy z wiadra, na początku będą się zmagać, ale z czasem się poprawią. Podobnie z sieciami neuronowymi. Uczenie maszynowe oznacza po prostu nauczanie komputera, aby wybierał „czerwone” rzeczy, na przykład z wirtualnego kubła różnorodnych rzeczy.

W ten sposób McPherson i firma przeszkolili swoją sieć neuronową. „W naszym systemie tworzymy model - architekturę sieci neuronowych, uporządkowany zestaw tych sztucznych neuronów - a następnie dajemy im dużą liczbę zaciemnionych obrazów”, mówi. „Na przykład, możemy dać im sto różnych zdjęć Carol, które zostały podzielone na piksele, a następnie sto różnych zdjęć Boba, które zostały pikselowane”.

Następnie badacze oznaczają te pikselowane obrazy, a tym samym mówią modelowi, kto jest na każdym obrazie. Po przetworzeniu tego zestawu danych, sieć funkcjonalnie wie, jak wygląda Pixelated Bob i Pixelated Carol. „Możemy wtedy nadać mu odmienny piksel Bob'a lub Carola, bez etykiety”, wyjaśnia McPherson, „i może zgadnąć i powiedzieć:„ Myślę, że to Bob z 95-procentową dokładnością ”.

Model nie rekonstruuje zaciemnionego obrazu, ale fakt, że jest on w stanie pokonać najpowszechniejsze i wcześniej najbardziej niezawodne metody anonimizacji, sam w sobie jest niepokojący. „Są w stanie dowiedzieć się, co jest zaciemnione, ale nie wiedzą, jak pierwotnie wyglądało”, mówi McPherson.

Ale sieci neuronowe nadal są w stanie zrobić o wiele lepiej niż ludzie. Gdy obrazy były najbardziej zaciemnione przy użyciu jednej standardowej techniki, system był nadal w ponad 50 procentach dokładny. Dla nieco mniej zaciemnionych obrazów, system okazał się niezwykły, z dokładnością około 70 procent. Norma YouTube dotycząca rozmazywania twarzy całkowicie się nie powiodła; nawet najbardziej rozmyte obrazy zostały uszkodzone przez sieć neuronową, która okazała się dokładna w 96 procentach.

Inne wcześniej nie wyrafinowane techniki anonimizacji danych, tekstu i obrazu również nie są wiarygodne. „W ciągu lata pracowaliśmy nad anonimizacją tekstu przy użyciu pikselacji i rozmycia, i pokazaliśmy, że udało się je złamać” - mówi McPherson. I inne metody, które kiedyś były godne zaufania, również mogą być w drodze. Chociaż nie zna tajników technik zaciemniania głosu, takich jak te używane do anonimowych wywiadów telewizyjnych, „nie zdziwiłby się”, gdyby sieci neuronowe mogły przerwać anonimizację.

Odkrycie McPhersona dowodzi zatem, że „metody zachowania prywatności, które mieliśmy w przeszłości, nie są tak naprawdę w stanie zaszkodzić, szczególnie w nowoczesnych technikach uczenia maszynowego”. Innymi słowy, kodujemy się w nieistotność, maszyny treningowe prześcignąć nas we wszystkich dziedzinach.

„Wraz ze wzrostem mocy uczenia maszynowego, kompromis zmieni się na korzyść przeciwników” - napisali naukowcy.