一個照片「隱身衣」,讓微軟曠視人臉識別系統100%失靈|開源

魚羊 蕭簫 發自 凹非寺量子位 報導 | 公眾號 QbitAI

左圖，右圖，你能看出區別嗎？

其實，算法已經悄悄給右邊的照片加上了微小的修改。

但就是這樣肉眼根本看不出來的擾動，就能100%騙過來自微軟、亞馬遜、曠視——全球最先進的人臉識別模型！

所以意義何在？

這代表著你再也不用擔心po在網上的照片被某些軟體扒得乾乾淨淨，打包、分類，幾毛錢一整份賣掉餵AI了。

這就是來自芝加哥大學的最新研究：給照片加上一點肉眼看不出來的修改，就能讓你的臉成功「隱形」。

如此一來，即使你在網絡上的照片被非法抓取，用這些數據訓練出來的人臉模型，也無法真正成功識別你的臉。

給照片穿上「隱身衣」

這項研究的目的，是幫助網友們在分享自己的照片的同時，還能有效保護自己的隱私。

因此，「隱身衣」本身也得「隱形」，避免對照片的視覺效果產生影響。

也就是說，這件「隱身衣」，其實是對照片進行像素級別的微小修改，以蒙蔽AI的審視。

其實，對於深度神經網絡而言，一些帶有特定標籤的微小擾動，就能夠改變模型的「認知」。

比如，在圖像裡加上一點噪聲，熊貓就變成了長臂猿：

Fawkes就是利用了這樣的特性。

用 x 指代原始圖片，xT為另一種類型/其他人臉照片，φ 則為人臉識別模型的特徵提取器。

具體而言，Fawkes是這樣設計的：

第一步：選擇目標類型 T

指定用戶 U，Fawkes的輸入為用戶 U 的照片集合，記為 XU。

從一個包含有許多特定分類標籤的公開人臉數據集中，隨機選取 K 個候選目標類型機器圖像。

使用特徵提取器 φ 計算每個類 k=1…K 的特徵空間的中心點，記為 Ck。

而後，Fawkes會在 K 個候選集合中，選取特徵表示中心點與 XU 中所有圖像的特徵表示差異最大的類，作為目標類型 T。

第二步：計算每張圖像的「隱身衣」

隨機選取一幅 T 中的圖像，為 x 計算出「隱身衣」δ(x, xT) ，並按照公式進行優化。

其中 |δ(x, xT)| < ρ。

研究人員採用DDSIM（Structural Dis-Similarity Index）方法。在此基礎上進行隱身衣的生成，能保證隱身後的圖像與原圖在視覺效果上高度一致。

實驗結果表明，無論人臉識別模型被訓練得多麼刁鑽，Fawkes都能提供95％以上有效防護率，保證用戶的臉不被識別。

即使有一些不小心洩露的未遮擋照片被加入人臉識別模型的訓練集，通過進一步的擴展設計，Fawkes也可以提供80%以上的防識別成功率。

在Microsoft Azure Face API、Amazon Rekognition和曠視Face Search API這幾個最先進的人臉識別服務面前，Fawkes的「隱身」效果則達到了100%。

目前，Fawkes已開源，Mac、Windows和Linux都可以使用。

安裝簡易方便

這裡以Mac系統為例，簡單介紹一下軟體的使用方法。使用的筆記本是MacBook Air，1.1GHz雙核Intel Core i3的處理器。

首先，我們從GitHub上下載壓縮安裝包，並進行解壓。

接下來，把想要修改的所有照片放入一個文件夾裡，並記住路徑。

以桌面上的一個名為test_person的圖片文件夾為例，裡面我們放了三張照片，其中一張圖片包含兩個人。

這裡的圖片路徑是~/Desktop/test_person，根據你的圖片保存位置來確定。

接下來，打開啟動臺中的終端，進入壓縮包所在的文件夾。

注意，如果MacOS是Catalina的話，需要先修改一下權限，以管理員身份運行，sudo spctl —master-disable就可以了。

這裡我們的壓縮包直接放在下載的文件夾裡，直接cd downloads就行。

進入下載文件夾後，輸入./protection -d 文件路徑（文件路徑是圖片文件夾所在的位置，這裡輸入~/Desktop/test_person），運行生成圖片的「隱身衣」。

嗯？不錯，看起來竟然能識別一張圖中的2個人臉。

緩慢地運行……

據作者介紹說，生成一張「隱身衣」的速度平均在40秒左右，速度還是比較快的。

如果電腦配置夠好，應該還能再快點。

不過，雙核的就不奢求了…我們耐心地等一下。

從時間看來，處理速度還算可以接受。

Done！

圖中來看，生成3張圖片的「隱身衣」，電腦用了大約7分鐘（一定是我的電腦太慢了）。

來看看生成的結果。

可以看見，文件夾中的3張圖片，都生成了帶有_low_cloaked的後綴名的圖片。

雖然介紹裡說，生成的後綴是_mid_cloaked的圖片，不過軟體提供的模式有「low」、「mid」、「high」、「ultra」、「custom」幾種，所以不同的模式會有不同的後綴名。

以川普為例，來看看實際效果。

兩張圖片幾乎沒有差別，並沒有變醜，川普臉上的皺褶看起來還光滑了一點。

這樣，我們就能放心地將經過處理後的人臉照片放到網上了。

即使被某些不懷好意的有心之人拿去使用，被盜用的數據也並不是我們的人臉數據，不用再擔心隱私被洩露的問題。

不僅如此，這個軟體還能「補救」一下你在社交網站上曬出的各種人臉數據。

例如，你曾經是一名衝浪達人，之前會將大量的生活照po到社交網站上——

照片可能已經被軟體扒得乾乾淨淨了……

不用擔心。

如果放上這些經過處理後的圖片，這些自動扒圖的人臉識別模型會想要添加更多的訓練數據，以提高準確性。

這時候，穿上「隱身衣」圖片在AI看來甚至「效果更好」，就會將原始圖像作為異常值放棄。

華人一作

論文的一作是華人學生單思雄，高中畢業於北京十一學校，目前剛拿到了芝加哥大學的學士學位，將於9月份入學攻讀博士學位，師從趙燕斌教授和Heather Zheng教授。

作為芝加哥大學SAND Lab實驗室的一員，他的研究主要側重於機器學習和安全的交互，像如何利用不被察覺的輕微數據擾動，去保護用戶的隱私。

從單同學的推特來看，他一直致力於在這個「透明」的世界中，為我們爭取一點僅存的隱私。

論文的共同一作Emily Wenger同樣來自芝加哥大學SAND Lab實驗室，正在攻讀CS博士，研究方向是機器學習與隱私的交互，目前正在研究神經網絡的弱點、局限性和可能對隱私造成的影響。

項目連結：https://github.com/Shawn-Shan/fawkes/tree/master/fawkes

論文連結：http://people.cs.uchicago.edu/~ravenben/publications/pdf/fawkes-usenix20.pdf

參考連結：https://www.theregister.com/2020/07/22/defeat_facial_recognition/