Люди против алгоритмов: как и зачем обманывать системы распознавания?

Как можно спрятаться от Большого брата. Изображение: pixabay.com.

Ловушки для алгоритмов: маски, макияж, датчики

Чем совершеннее становятся системы слежения, тем изощреннее попытки от них скрыться. Почему в Гонконге протестующие надевают маски и шарфы, законно ли это в России и как в нашей стране можно спрятаться от Большого Брата, разбиралась журналист Теплицы Юлия Каленкова.  

Протесты в Гонконге против законопроекта об экстрадиции стали не только самыми массовыми народными волнениями последнего десятилетия, но и иллюстрацией антиутопического будущего. Протестующие громили «умные» фонарные столбы с системами из камер и датчиков. Под хэштегами #AntiMaskLaw в Сети можно увидеть устройства, созданные энтузиастами и профессионалами. Это маски и носимые проекторы для лица, которые вводят системы слежения «в заблуждение».  

Взять на вооружение зарубежный опыт не получится. Для российских протестующих этот метод с некоторых пор неприменим: согласно закону РФ, участникам митингов запрещено использовать «маски, средства маскировки, иные предметы, специально предназначенные для затруднения установления личности». Однако есть другой, уже проверенный метод – макияж. 

В 2017 году «Новая газета» писала о сотруднике «Яндекса» Григории Бакунове, придумавшем специальный макияж для защиты от распознавания лиц. Он не только помогал избегать идентификации, но и позволял запутать систему.

Один из вариантов  макияжа для защиты от распознавания лиц, который предложил  Григорий Бакунов. Фото: habr.com
Один из вариантов макияжа для защиты от распознавания лиц, который предложил Григорий Бакунов. Фото: habr.com

Определенные схемы макияжа обманывали алгоритм, и он считал, что это лицо совсем другого человека. Однако проект закрылся: Григорий Бакунов заявил, что «слишком уж велик шанс использовать продукт не для добра, а вовсе с другими целями».

Специалисты российской компании «Видеомакс» протестировали пакет аналитических программ для распознавания лиц «Face-Интеллект». Выяснилось, что никакие накладные усы, бороды, темные и прозрачные очки не смогли обмануть алгоритмы. А вот ношение объемного парика снижало точность опознания почти вдвое. Совместное же использование парика с длинными волосами, головного убора, наклеивание пластырей и имитация синяков на лице позволяли системе идентифицировать пользователя с точностью лишь в 51%. 

Значит, обмануть системы слежения можно, весь вопрос в технологиях. Какие из них доказали свою эффективность, а какие проиграли в войне за приватность? 

Люди против алгоритмов: зарубежный опыт

Соляные ловушки и наклейки

Британский художник и футуролог Джеймс Бридл призывает обычных людей заниматься повышением уровня образования и разбираться в том, как именно работают современные технологии. Он известен тем, что вывел из строя беспилотное авто, не ломая его. Для этого оказалось достаточно нарисовать на дороге круг из соли с имитацией разметки кругового движения. Умная камера робомобиля считает «соляную ловушку», и алгоритм управления не сможет восстановить работу.

Последователи Бридла уже создали специальные наклейки на дорожные знаки, считывание которых беспилотными автомобилями неминуемо приведет к ДТП с их участием. «Необходимо повышение уровня технологической грамотности большинства, чтобы мы понимали, как именно работают технологии, и не оказались заложниками «магии», которой владеет меньшинство», – говорят единомышленники футуролога.

Инфракрасные датчики

Не менее эффективными оказались очки со светодиодами и инфракрасными датчиками. Компания Alibaba проинвестировала проект устройства крепящегося на козырьке бейсболки и оснащенного инфракрасными датчиками. Бейсболки Justice Cap не позволяют инфракрасным камерам точно считывать реперные точки на лице. Цена такого устройства всего 15 долларов.

Исследователь Исао Эчизен продвигает проект Privacy Visitor. Устройство также базируется на очках, конструкция которых представляет собой линзы, размещенные в определенном порядке, которые не позволяют камере навести фокус на лицо человека. При этом, используя такие очки, можно не вызывать подозрения у окружающих людей. Однако алгоритмы эволюционировали и стали учитывать минимум 68 точек на лице (они расположены по контуру лица, определяют положение и форму подбородка, глаз, носа и рта, расстояние между ними). Изменить их все – практически невыполнимая задача. Вероятно именно поэтому проект не получил продолжения.

Маски и макияж

Художник и технолог Адам Харви решил использовать макияж для защиты от алгоритмов, которые умеют распознавать лица. Он разработал особую технику макияжа под названием CV Dazzle – это комбинация макияжа, шиньонов, аксессуаров и камней, которые позволяют трансформировать лица. Техника берет начало от приема, который использовался во время Первой мировой войны, – тогда корабли красили в черно-белые полосы, из-за чего издалека было труднее понять их размер и в какую сторону они направляются.

Санны Уикерс, студентка дизайна из Нидерландов, придумала шарф с изображениями лиц, который может сбить с толку алгоритмы. «Если дать программе слишком много информации, она запутается и вы станете для нее невидимыми», – считает она.

Помимо этого, Адам Харви совместно со студией Hyphen-Labs разработал паттерны Hyperface, которые сбивают с толку устройства для распознавания лиц. Узор на ткани имитирует глаза, губы и другие черты лица, которые компьютер считает реальными. Выступая на Всемирном конгрессе хакеров, художник отметил, что разработанные им паттерны перегружают алгоритм теми данными, которые он ищет, что приводит к нарушению работы системы.

Однако директор Social Data Hub Артур Хачуян уверен, что подобные методы не работают: «Большинство систем на стратегических объектах вообще оборудованы специальными камерами, там не важно, что на лице человека нарисовано. <…> Макияж никак не меняет геометрию лица. Кроме того, если есть возможность поиска не только по ВК, а например, как у меня, по 11 социальным сетям, то и выборка фотографий получается гораздо больше».

Состязательные примеры

Обмануть ИИ можно также с помощью известного феномена – состязательных примеров. Это особые изображения, которые сбивают с толку системы компьютерного зрения. Они могут представлять собой стикеры, объемные фигуры и даже картины.

Эксперты считают, что состязательные примеры несут опасность. Например, их можно использовать, чтобы заставить самоуправляемую машину думать, что знак «Стоп» – это фонарный столб.

По прогнозам исследовательской компании MarketsandMarkets, к 2021 году объем мирового рынка распознавания лиц достигнет $6,84 млрд. В 2016 году он был вдвое меньше – $3,35 млрд. Очевидно, что технологии возьмут несколько векторов развития.

Почему обман иногда необходим

В феврале 2019 года американская компания Amber презентовала новое программное обеспечение, которое сможет противодействовать созданию deepfake (поддельного видео, которое имитирует реальное благодаря технологиям ИИ) на основе съемок с полицейских камер и камер наблюдения. Через интервалы, определенные пользователем, она создает «цифровые отпечатки» (хэши) данных. Затем эти хэши сохраняются в блокчейн-сеть. Если кто-то изменит файлы, программа сравнит их «отпечатки» с оригинальными и выдаст предупреждение. 

Когда нужен обман во благо

  • Технология замены анимации лица. Голливуд использовал их еще несколько десятилетий назад: когда актер не мог участвовать в съемках, его образ просто накладывали на аниматора. А сейчас, например, можно воссоздать образ умершего Пола Уолкера в «Форсаж-7». 
  • Создание спецэффектов. Допустим, чтобы совместить части тела разных людей, добавить действие – например, человек хлопает в ладоши, достает оружие. 
  • Генерирование контента, похожего на реальность. Речь идет о сложных текстурах в компьютерных играх или реалистичных планах в кинофильмах. На сайте Thispersondoesnotexist.com представлены фотографии несуществующих людей. Каждый раз, когда пользователи обновляют страницу сайта, с нуля генерируется новое изображение лица несуществующего человека. Их создает нейросеть StyleGAN.
  • Создание приложений, где пользователь сможет обработать видео по своему усмотрению: создать свой образ с другой мимикой, прической, типом фигуры. Это отличная находка для маркетинговых кампаний, позволяющая увидеть, как одежда будет сидеть на покупателе или как будет выглядеть диван с витрины магазина в вашей гостиной.

Мировое сообщество уверено: вскоре верификация контента станет необходимостью. Министерство обороны США DARPA уже запустило специальный проект MediFor, цель которого не только обнаружить поддельные видео, но и понять, как они сделаны.

Еще по теме

Будьте с нами на связи, независимо от алгоритмов

Telegram-канал E-mail рассылка RSS-рассылка
Как победить алгоритмы: прочитай инструкции, как настроить приоритетный показ материалов в социальных сетях и подключить RSS-ленту.