Автор: Лили Хэй Ньюман
Пикселизация — привычный фиговый листок, призванный скрыть самые приватные части наших визуальных медиа. За примерами далеко ходить не надо: размытый текст, затемненные лица и номерные знаки, появляющиеся в новостях, отредактированных документах и в сети. В этой технике нет ничего необычного, но она работает достаточно хорошо, потому что люди не могут видеть или читать сквозь подобное искажение. Проблема, однако, заключается в том, что теперь мы — не единственные, кто способен распознавать картинки. Компьютерное зрение становится всё более продвинутым, и оно начинает видеть вещи которые не можем увидеть мы.
Исследователи Университета Техаса в Остине и Центра технологического лицензирования в Корнельском университете (Cornell Tech) утверждают, что им удалось натренировать программу, которая способна раскрыть приватные части, закрытые стандартными масками вроде размытия и пикселизации, и с помощью обучения сможет читать или видеть то должно быть скрыто в изображениях — все что угодно, от скрытого номера дома до пикселизованного человеческого лица на заднем плане фото. И для этого не требуются новые техники по распознаванию маскировки. Команда исследователей обнаружила, что мейнстрим-методы машинного обучения — процесс «тренировки» компьютера с набором данных, в отличие от его программирования — легко приводит к решению данной задачи.
«Техники, которые мы используем в данной работе, достаточно стандартны для сферы распознавания изображений, что наводит на тревожные мысли» — говорит Виталий Шматиков, один из авторов исследования из Cornell Tech. Так как методы машинного обучения, используемые в исследовании, широко известны — в сети полно учебных пособий — учёный утверждает, что даже для плохого актора с базовыми техническими знаниями возможно осуществление подобных типов атак (на приватность – ред.). Кроме того, уже существуют более мощные методы распознавания лиц и объектов, которые потенциально могут пойти ещё дальше в преодолении визуальных барьеров.
Картинки из каждого набора данных. Самое левое изображение — оригинал, в то время как следующие четыре колонки демонстрируют увеличение пикселизации, а последние три колонки показывают три уровня маскирования с использованием системы P3. Чем более обширно запутывание, тем ниже процент успеха обучающейся программы по идентификации базового изображения. Но в большинстве тестов система идентифицирует скрытый текст или лицо в более чем 50 процентах случаев. РИЧАРД МАКПЕРСОН, РЕЗА ШОКРИ И ВИТАЛИЙ ШМАТИКОВ
Исследователям удалось преодолеть три различных технологии защиты частной информации, начиная с проприетарного инструмента размытия, встроенного в Youtube. Эта социальная сеть позволяет загружающим контент пользователям выбирать объекты или фигуры которые они хотят размыть, и команда учёных использовала свою технологию чтобы идентифицировать скрытые лица на видеозаписях. В другом примере работы метода, исследователи попытались преодолеть пикселизацию (также называемую мозаичностью). Чтобы создать её различные уровни, они использовали стандартную мозаичную технику, которую, по их словам, можно найти в фотошопе и других известных программах. И наконец учёные попытались преодолеть систему Privacy Preserving Photo Sharing (P3), который шифрует выбранные данные в фотографиях JPEG таким образом, что люди не могут видеть изображение в целом, оставляя только часть компонентов открытыми дабы компьютеры могли взаимодействовать с файлами – например, сжимать их.
Команда учёных тренировала нейронные сети распознавать изображения, выдавая им для анализа снимки, собранные из четырёх больших и хорошо известных датасетов. Чем больше слов, лиц или объектов нейронные сети «видели», тем лучше они распознавали свои цели. После того, как сети достигли почти 90 процентной точности в идентификации релевантных объектов в тренировочных наборах, исследователи обработали изображения с помощью трёх инструментов приватности и затем дополнительно обучали их интерпретировать размытые и пикселизованные картинки на основе знаний об оригиналах.
Наконец они использовали скрытые тестовые изображения которые нейронные сети не видели ни в какой форме чтобы посмотреть смогут ли они распознать лица, объекты и рукописные цифры. Для некоторых сетов данных и маскировочных техник нейронные сети продемонстрировали распознавание 80 и даже 90 процентов. В случае использования мозаичности, чем сильнее изображение было пикселизовано, тем меньше был процент успеха. Но самообучающаяся машина часто демонстрировала результат от 50 до 75 процентов. Самый низкий показатель составил 17 процентов — система споткнулась о датасет с лицами селебрити, обработанный системой P3. Если компьютеры пытались случайно угадать лица, формы и цифры, то результат на каждый тест составлял от 10 до 0.2 процента, что значит что даже относительно низкий процент успеха системы идентификации лучше, чем попытки случайного угадывания.
Даже если методу машинного обучения и не всегда удавалось преодолеть защитные маски изображения, тем не менее стоит признать, что он наносит серьёзный удар по пикселизации и размытию как инструментам приватности, говорит Лоуренс Саул, исследователь машинного обучения из Университета Калифорнии, Сан-Диего. «Для победы над приватностью на самом деле не нужен 99.9 процентный результат реконструирования» картинки или строки текста, сообщает учёный. «Если в 40 или 50 процентов случаев вы можете угадать лицо, фигуру или текст, то этого достаточно, чтобы объявить современные методы защиты приватности устаревшими».
Стоит отметить, что исследование не позволяет реконструировать изображение с нуля и не может полностью преодолеть скрытие дабы полностью воссоздать лица или объекты. Эта техника позволяет найти что-то известное ей — не обязательно точное изображение, но вещи которые она видела раньше, вроде определённого объекта или ранее идентифицированного лица. К примеру в массиве видеозаписей канала CCTV, сделанных на железнодорожном вокзале, на которых все лица пассажиров размыты, она не может идентифицировать каждого гражданина. Но если вы подозреваете что определённая персона была в определённом месте в определённый момент времени, система сможет обнаружить её лицо среди толпы даже на размытом видео. Саул замечает, что дополнительным испытанием был бы тест нейронных сетей на обработанных изображениях, собранных из более широкого спектра реальных ситуаций и условий а не только тестирование на стандартизированных изображениях из существующих баз данных. Но, основываясь на текущих результатах, он утверждает, что практическое применение системы, скорее всего, возможно.
Более значимая цель учёных — предупредить сообщества, занимающиеся приватностью и безопасностью, что прогресс в области машинного обучения и его использования в качестве инструмента идентификации не может быть проигнорирован. Всегда есть пути защиты против подобных атак на приватность, указывает Саул, например использование чёрных линий, которые полностью закрывают части изображения а не искажают его. Ещё лучшим решением может стать наложение любого случайного изображения другого лица перед замыливанием, так что даже если последнее будет преодолено, персону идентифицировать всё равно невозможно. «Я надеюсь, что результатом нашей публикации будет то, что никто не сможет назвать свою технологию приватности эффективной без прохождения соответствующего анализа» — говорит Шматиков. Размещение неудобного чёрного блока на чьё-то лицо на видео сегодня гораздо менее распространено чем пикселизация. Но скоро это может стать необходимым шагом для сохранения приватности.
Оригинал: Wired
