Pixelated Images er ingen match for Cornell Techs ansiktsgjenkjenning A.I.

Tre forskere ved Cornell Tech i New York City har oppdaget at uskarpe og pikselerte bilder ikke stemmer overens med kunstig intelligens. Selv om skjulte bilder forblir uforståelige for menneskelige øyne, og så synes å beskytte deres følsomme innhold, kan nevrale nettverk ofte fortelle nøyaktig hvem som er hvem i det opprinnelige bildet.

Med andre ord er mennesker ikke lenger litmusprøven. Vi kan ikke lenger spørre om noe beseirer alle menneskelige hjerner. A.I.s - selv enkle A.I.s - kan overgå mennesker, så også beseirelse av dem må alltid være en del av ligningen.

Cornell Tech-forskernes studie fokuserte på å teste personvernbevarende algoritmer, noe som uklare eller piksler visse opplysninger eller deler av bilder. Tidligere betrodde vi personvernbevarende programvare eller algoritmer implisitt, og fant ut at informasjonen de skjulte var sikker fordi nei menneskelig kunne fortelle hvem som sto bak det digitale sløret. Studien viser at den tiden er over, og relaterte anonymiseringsmetoder vil heller ikke vare lenge. Nevrale nettverk, møtt med disse personverntiltakene, er uberørt.

Richard McPherson er en Ph.D. kandidat i datavitenskap ved University of Texas, Austin, som fulgte sin professor, Vitaly Shmatikov, til Cornell Tech. Sammen, sammen med Reza Shokri, demonstrerte de at enkle nevrale nettverk kunne deformere vanlige image obfuscation teknikker. Teknikken er relativt usofistikert, noe som gjør funnelsen mer bekymringsfull: Disse er vanlige, tilgjengelige metoder, og de klarte å beseire bransjens normer for obfuscation.

Nevrale nettverk er store, lagdelte strukturer av noder, eller kunstige nevroner, som etterligner den grunnleggende strukturen i hjernen. De er "basert på en forenklet forståelse av hvordan neuroner fungerer," forteller McPherson Omvendt. "Gi det litt innspill, og nevronet brenner eller brenner ikke."

De er også i stand til å "lære" ved en grov definisjon av begrepet. Hvis du viser en feral (helt uutdannet) noe som er "rød", og fortelle dem å plukke ut alle "røde" ting fra en bøtte, vil de slite først, men forbedre over tid. Så også med nevrale nettverk. Maskininnlæring betyr bare at du lærer en datamaskin for å plukke ut de "røde" tingene, for eksempel fra en virtuell bøtte med varierte ting.

Det var slik at McPherson og firma trente sine nevrale nettverk. "I vårt system skaper vi en modell - en arkitektur av nevrale nettverk, et strukturert sett av disse kunstige nevronene - og så gir vi dem en stor mengde forvirrede bilder," sier han. "For eksempel kan vi gi dem hundre forskjellige bilder av Carol som har blitt pixelert, så hundre forskjellige bilder av Bob som har blitt pixelert."

Forskerne merker da disse pixelerte bildene, og forteller da modellen som er i hvert bilde. Etter å ha behandlet dette datasettet, vet nettverket funksjonelt hva Pixelated Bob og Pixelated Carol ser ut som. «Vi kan da gi det et annerledes pixelert bilde av Bob eller Carol, uten etiketten,» forklarer McPherson, »og det kan gjette og si," Jeg tror dette er Bob med 95 prosent nøyaktighet."

Modellen rekonstruerer ikke det forvirrede bildet, men det faktum at det er i stand til å beseire de vanligste og tidligere mest pålitelige anonymiseringsmetodene, er foruroligende i seg selv. "De kan finne ut hva som blir forvirret, men de vet ikke hva det opprinnelig så ut som," sier McPherson.

Men nevrale nettverk er fortsatt i stand til å gjøre så langt bedre enn mennesker. Da bildene var mest forvirret ved hjelp av en bransjestandardteknikk, var systemet fortsatt over 50 prosent nøyaktig. For litt mindre obfuscated bilder viste systemet seg bemerkelsesverdig, med omtrent 70 prosent nøyaktighet. YouTubes norge for uskarpe ansikter er helt mislyktes; selv de mest uskarpe bildene ble trounced av nevrale nettverket, som viste 96 prosent nøyaktig.

Andre tidligere uskapelige data-, tekst- og bilde anonymiseringsteknikker er heller ikke upålitelige. "Det var et arbeid i løpet av sommeren som så på anonymiserende tekst ved hjelp av pikselering og uskarphet, og viste at de også kunne brytes," sier McPherson. Og andre gang-troverdige metoder kan også være på vei utover døren. Selv om han ikke kjenner inn-og-ut av stemmeforvirringsteknikker, som de som brukes til anonyme tv-intervjuer, "ville han ikke bli overrasket" hvis nevrale nettverk kunne bryte anonymiseringen.

McPhersons oppdagelse viser da at "de personvernbeskyttende metodene vi hadde tidligere, er egentlig ikke opp til snus, spesielt med moderne maskinlæringsteknikker." Med andre ord koder vi oss selv for irrelevans, trener maskiner til å overgå oss i alle verdener.

"Etter hvert som kraften i maskinlæring vokser, vil denne avviket skifte til fordel for motstanderne," forskerne skrev.