自撮り写真でAIがあなたの顔を認識できないようにする方法

現在、顔認識システムがプライベートな写真で訓練されるのを防ぐツールがますます増えている。

個人の写真をインターネットにアップロードするのは簡単な作業のように思えますが、問題は、写真がインターネットに公開されたら、誰がアクセスできるのか、その写真で何が行われるのか、写真をトレーニングするためにどのような機械学習アルゴリズムが使用されるのか、ということです。

[[420027]]

Clearview 社はすでに、公開ウェブ上の何百万枚ものプライベート写真でトレーニングされた顔認識ツールを米国の法執行機関に提供しており、これはまだ始まりに過ぎないようだ。基本的なコーディングスキルがあれば誰でも顔認識ソフトウェアを開発できるため、この技術はセクハラから人種プロファイリング、政治的抑圧、宗教的迫害に至るまで、さまざまな目的で悪用される可能性がこれまで以上に高まっている。

多くの AI 研究者は、AI が個人データから学習するのを防ぐ方法の開発に取り組んでいます。今週、人工知能カンファレンス ICLR で最新のレポート 2 つが発表されます。

「他人の所有物ではないものを奪われるのは嫌だ。多くの人が同じように感じていると思う」と、昨年の夏、同僚とともに最も初期のAI耐性ツールの一つを開発したシカゴ大学のエミリー・ウェンガー氏は語った。

データ汚染は新しいものではありません。企業のデータを削除したり、データセットを偽の例で汚染したりすると、企業が正確な機械学習モデルをトレーニングすることが難しくなります。しかし、こうした取り組みが効果を発揮するには、通常、数百万人、数万人規模の集団行動が必要です。ウェンガー社の新技術のユニークな点は、顔写真だけで目的を達成できることです。

オーストラリアのディーキン大学のダニエル・マー氏は「この技術は、個人の写真1枚を鍵として使ってデータをロックすることができる。人工知能の時代において、これは人々のデジタル権利を守るための新たな最前線の防衛手段だ」と語った。

視界に隠れた

Fawke を含む現在のツールのほとんどは、同じ基本的なアプローチを使用しています。つまり、人間の目では検出が難しい小さな変更を画像に加え、AI が写真に写っているものを誤って識別するように仕向けるのです。この手法は敵対的攻撃に非常に近く、入力データの小さな変更によってディープラーニング モデルに大きなミスを強いることが可能です。

フォークスに自撮り写真のセットを渡すと、画像にピクセルレベルの変化が加えられ、最先端の顔認識システムでも写真に写っている人物を識別できなくなる。以前の方法とは異なり、画像に明らかな変更は加えられません。

ウェンガー氏とその同僚は、アマゾンのAWS Recognize、マイクロソフトのAzure、中国のMegvii Technologiesが開発したFace++など、広く使用されているいくつかの商用顔認識システムでこのツールをテストした。 50 枚の画像のデータセットを使用した小規模な実験では、Fawkes はすべての画像に対して 100% の効果を発揮しましたが、調整された人物画像でトレーニングされたモデルは、新しい画像内のこれらの人物の画像を認識できませんでした。改ざんされたトレーニング画像により、これらのツールは人間の表情を正確に表現することができませんでした。

フォークスプロジェクトのウェブサイトは、約50万回ダウンロードされています。ユーザーの一人は、人々が使いやすくするためにオンライン版も構築した（ただし、ウェンガー氏は、第三者によるコードの使用は保証せず、「データが処理されるときに何が起きるかは分からない」と警告している）。ウェンガー氏は、「まだモバイルアプリはないが、誰かが作ることを妨げるものは何もない」と語った。

フォークスは新しい顔認識システムによるユーザーの認識を阻止します。次はクリアビューです。しかし、保護されていない画像で訓練された既存のシステムを打ち破ることはできなかった。しかし、技術は常に進歩しています。ウェンガー氏は、メリーランド大学のヴァレリア・セレパノバ氏とその同僚が開発したツールがその問題を解決できると考えている。

「LowKey」と呼ばれるこのツールは、事前に訓練された商用モデルを欺くより強力な敵対的攻撃に基づいて画像に摂動を適用することで、Fawkes を拡張します。 Fawkes と同様に、LowKey もオンラインで見つけることができます。

マー氏とその同僚は、画像をいわゆる学習不可能な例に変え、AIに自分の自撮り写真を完全に無視するよう効果的に指示する、さらに強力なツールを開発した。ウェンガー氏は、「フォークスがAIモデルを騙して間違った結果を出せるのは素晴らしいことだと思う。このツールはトレーニングモデルにユーザーについて何も知らせない」と述べた。

写真の上の3枚はインターネットからダウンロードした写真で、学習できない以下の3つの例のようになります。顔認識システムはその存在を無視します。

フォークスとは異なり、学習不可能な例は敵対的攻撃に基づいていません。 AIに間違いを強いるような画像の変更を加える代わりに、Ma氏のチームは、トレーニング中にAIが無視する小さな変化を加えた。後で画像を見せられたとき、画像に何が含まれているかについての評価は、ランダムな推測と変わりませんでした。

実験によれば、学習不可能な例は元に戻すことができないため、敵対的攻撃よりも効果的であることが示されています。 AIが敵対的な例を多く見るほど、それを認識する能力は向上するが、馬氏と彼の同僚は、AIが画像でトレーニングすることを本質的に防いだ。

ウェンガー氏は、Microsoft Azure の顔認識サービスが一部の画像ではもはや騙されないことに最近気づいた後、進行中の新たな戦いに突入した。 「私たちが生成した隠し画像に対して突然、非常に堅牢になりました」と彼女は語った。「何が起こっているのか分かりません。」

Microsoft がアルゴリズムを変更したか、AI が十分な数の Fawkes 画像をトレーニングして、それらを認識する方法を学習した可能性があります。いずれにせよ、ウェンガー氏のチームは先週、ツールの更新バージョンをリリースし、再び Azure に対抗しました。 「これはまたしても猫とネズミの軍拡競争だ」と彼女は語った。

ウェンガーにとって、これはインターネットについての物語だ。 「クリアビューのような企業は、無料で入手できるデータを入手し、それを自分たちの好きなように利用している」と彼女は語った。

規制は長期的には役立つかもしれないが、企業が抜け穴を悪用するのを止めることはできない。 「法的に許容されるものと人々が実際に望んでいるものの間には常に乖離がある」と彼女は言う。「フォークスのようなツールはそのギャップを埋めてくれる」