この記事はAI新メディアQuantum Bit（公開アカウントID：QbitAI）より許可を得て転載しています。転載の際は出典元にご連絡ください。

左の写真、右の写真、違いがわかりますか？

実際、アルゴリズムは右の写真に静かにわずかな修正を加えています。

しかし、肉眼では見えないこのような障害は、Microsoft、Amazon、Megviiなどの世界最先端の顔認識モデルを100%欺くことができます。

それで、何がポイントなのでしょうか?

つまり、オンラインに投稿した写真が特定のソフトウェアによって削除され、パッケージ化され、分類され、1枚数セントで販売されて AI に提供されることを心配する必要がなくなるのです。

これはシカゴ大学の最新の研究です。写真に肉眼では見えない程度の小さな変更を加えることで、顔を見えなくすることができます。

こうすることで、たとえインターネット上のあなたの写真が違法に撮影されたとしても、このデータでトレーニングされた顔モデルはあなたの顔をうまく認識できなくなります。

写真に「透明マント」を付ける

この研究の目的は、ネットユーザーがプライバシーを効果的に保護しながら写真を共有できるようにすることです。

そのため、写真の視覚効果に影響を与えないように、「透明マント」自体も「目に見えない」状態にする必要があります。

言い換えれば、この「透明マント」は、AI の精査を欺くために、実際にピクセルレベルで写真に小さな変更を加えます。

実際、ディープ ニューラル ネットワークの場合、特定のラベルによるわずかな変化によって、モデルの「認識」が変化する可能性があります。

たとえば、画像に少しノイズを加えると、パンダはテナガザルに変わります。

フォークスはこの機能を活用します。

x は元の画像、xT は別のタイプ/別の顔写真、φ は顔認識モデルの特徴抽出器を表します。

具体的には、Fawkes は次のように設計されています。

ステップ1: ターゲットタイプTを選択

ユーザー U が与えられた場合、Fawkes の入力はユーザー U の写真コレクション (XU と表記) になります。

多くの特定の分類ラベルを含む公開顔データセットから、K 個の候補ターゲット タイプのマシン画像がランダムに選択されます。

特徴抽出器 φ を使用して、各クラス k=1…K の特徴空間の中心点 (Ck と表記) を計算します。

次に、Fawkes は、K 個の候補セットから、特徴表現の中心点と XU 内のすべての画像の特徴表現との差が最も大きいクラスをターゲット タイプ T として選択します。

ステップ2: 各画像の「透明マント」を計算する

T からランダムに画像を選択し、x の「透明マント」δ(x, xT) を計算し、式に従って最適化します。

ここで|δ(x, xT)| < ρです。

研究者らはDDSIM（構造非類似性指数）法を使用しました。これを基にして透明マントを生成すると、透明画像が視覚効果において元の画像と非常に一致することが保証されます。

実験結果によると、顔認識モデルがいかに巧妙にトレーニングされても、Fawkes は 95% を超える有効な保護率を提供し、ユーザーの顔が認識されないことを保証できます。

たとえ偶然に漏洩したマスクされていない写真が顔認識モデルのトレーニング セットに追加されたとしても、さらに拡張された設計により、Fawkes は 80% を超える認識防止成功率を提供できます。

Microsoft Azure Face API、Amazon Rekognition、Megvii Face Search API などの最先端の顔認識サービスの前では、Fawkes の「不可視性」効果は 100% に達します。

現在、Fawkes はオープンソースであり、Mac、Windows、Linux で利用できます。

簡単で便利なインストール

ここでは、Mac システムを例に挙げて、ソフトウェアの使用方法を簡単に紹介します。使用したラップトップは、1.1GHz デュアルコア Intel Core i3 プロセッサを搭載した MacBook Air です。

まず、GitHub から圧縮されたインストール パッケージをダウンロードして解凍します。

次に、編集したい写真をすべてフォルダーに入れて、その場所を覚えておきます。

例として、デスクトップ上の test_person という名前の画像フォルダを取り上げます。このフォルダには 3 枚の写真が保存されており、そのうち 1 枚には 2 人の人物が写っています。

ここでの画像パスは ~/Desktop/test_person であり、画像を保存する場所によって異なります。

次に、ランチャーでターミナルを開き、圧縮パッケージが配置されているフォルダーを入力します。

MacOS が Catalina の場合は、まず権限を変更し、管理者として sudo spctl —master-disable を実行する必要があることに注意してください。

ここでは、圧縮されたパッケージがダウンロード フォルダーに直接配置され、CD でダウンロードするだけです。

ダウンロード フォルダーに入ったら、./protection -d ファイル パス (ファイル パスはイメージ フォルダーの場所です。ここでは ~/Desktop/test_person と入力します) と入力し、イメージ用に生成された「透明マント」を実行します。

えっと？悪くないですね。1枚の写真で実際に2つの顔を認識できるようです。

ゆっくり走っています…

作者によれば、「透明マント」の生成には平均約40 秒かかるとのことで、比較的高速です。

コンピュータが適切に構成されている場合は、さらに高速になるはずです。

ただし、デュアルコアモデルは期待できません…気長に待ちましょう。

時間から判断すると、処理速度は許容範囲内です。

終わり！

写真からわかるように、コンピュータが 3 枚の写真の「透明マント」を生成するのに約 7 分かかりました (私のコンピュータが遅すぎるためでしょう)。

生成された結果を見てみましょう。

フォルダー内の 3 つの画像はすべて、サフィックス_low_cloakedを付けて生成されていることがわかります。

生成された画像には_mid_cloakedというサフィックスが付くと紹介されていますが、ソフトウェアには「low」、「mid」、「high」、「ultra」、「custom」など複数のモードが用意されているため、モードによってサフィックスは異なります。

トランプ氏を例にとり、実際の効果を見てみましょう。

2枚の写真にはほとんど違いはありません。トランプ氏は醜くなっていませんし、顔のしわも少し薄くなっているように見えます。

こうすることで、加工した顔写真を安全にインターネット上に公開することができます。

たとえ悪意のある人物に利用されたとしても、盗まれたデータは私たちの顔データではないので、プライバシー漏洩の心配はありません。

それだけでなく、このソフトウェアは、ソーシャル ネットワーキング サイトに投稿したさまざまな顔データを「修正」することもできます。

例えば、あなたがかつてサーフィンのエキスパートで、SNSにたくさんのライフ写真を掲載していたとします。

写真はソフトウェアによって削除された可能性があります...

心配しないで。

これらの処理済み画像が表示される場合、これらの自動顔認識モデルは、精度を向上させるために、さらにトレーニング データを追加する必要があります。

このとき、AI にとっては「透明マント」をまとった写真の方が「良く」見える可能性もあるため、元の画像は外れ値として破棄されます。

中国の作品

論文の第一著者は、北京第十一高校を卒業したシャン・シションという名の中国人学生である。彼はシカゴ大学で学士号を取得したばかりで、9月に入学し、チャオ・ヤンビン教授とヘザー・チェン教授の指導の下で博士号を取得する予定である。

シカゴ大学の SAND ラボのメンバーとして、彼の研究は、微妙で感知できないデータの変動を利用してユーザーのプライバシーを保護する方法など、機械学習と安全なインタラクションに重点を置いています。

シャン氏のツイッターから判断すると、彼はこの「透明な」世界に残されたわずかなプライバシーのために戦うことに尽力しているようだ。

この論文の共同筆頭著者であるエミリー・ウェンガー氏もシカゴ大学の SAND ラボに所属しています。彼女はコンピューターサイエンスの博士号取得を目指しており、研究は機械学習とプライバシーの相互作用に焦点を当てています。現在は、ニューラル ネットワークの弱点、限界、プライバシーに対する影響の可能性について研究しています。

プロジェクトリンク:
https://github.com/Shawn-Shan/fawkes/tree/master/fawkes

論文リンク:
http://people.cs.uchicago.edu/~ravenben/publications/pdf/fawkes-usenix20.pdf