この敵対的アルゴリズムは顔認識アルゴリズムを失敗させ、WeChatやWeiboの写真圧縮にも抵抗できる。

この記事はAI新メディアQuantum Bit（公開アカウントID：QbitAI）より許可を得て転載しています。転載の際は出典元にご連絡ください。

前著でも述べたように、攻撃対策の概念は現在、プライバシー保護の分野にも適用されています。

写真に肉眼では見えない敵対的ノイズを加えることで、顔認識AIを欺きプライバシーを保護することができます。

しかし、一部の熱心な学生から次のような疑問が投げかけられました。さまざまなアプリは基本的に画像を再圧縮するので、この写真の「透明マント」は効果がなくなってしまうのではないでしょうか。

最近、武漢大学国立サイバーセキュリティ研究所はAdobeと協力してこの問題を研究し、あらゆる圧縮方式に適用可能な圧縮耐性のある敵対的画像生成スキームを提案しました。

つまり、圧縮に強い写真の「透明マント」です。

たとえ、加工された写真がソーシャルプラットフォームのさまざまな圧縮アルゴリズムによって変換されたとしても、対立的な要素が残る可能性があります。例えばWeiboでは成功率が90%を超えることもあります。

圧縮に耐える写真クローク

一般的に、小さな摂動が加えられた敵対的サンプルは、画像圧縮方法の影響を受けやすくなります。

特に現在、さまざまなソーシャルプラットフォームで使用される圧縮方法はすべてブラックボックスアルゴリズムであるため、圧縮方法の変更は敵対的サンプルの「耐性」にも大きな課題をもたらします。

論文の筆頭著者である王志波教授は次のように指摘した。

圧縮アルゴリズムが不明または微分不可能な場合、圧縮に耐性のある敵対的画像を生成することは非常に困難です。

このような問題を解決するために、本研究では、圧縮耐性のある敵対的フレームワークComReAdvを提案しました。

具体的には、計画は3つのステップに分かれています。

ステップ1: トレーニングデータセットを構築する

アップロード/ダウンロードにより、大量のオリジナル画像と対応する圧縮画像が取得され、トレーニングデータセットが構築されます。

ステップ2: 圧縮近似

教師あり学習は、元の画像と圧縮された画像のペアで構成されるデータセットを使用して実行されます。

研究者らは、エンコードとデコードに基づいたComModelと呼ばれる圧縮近似モデルを設計しました。このモデルは、ブラックボックス圧縮アルゴリズムのように画像を変換して近似圧縮を実現する方法を学習するために使用されます。

その中で、エンコーダーは、元の画像から固有のテクスチャや空間コンテンツの特徴などのマルチスケールの特徴を抽出します。

それに応じて、デコーダーは、実際の圧縮画像の圧縮効果を模倣するために、圧縮された対応する画像を粗いものから細かいものまで再構築します。

再構成された画像と実際の圧縮画像間の平均絶対誤差 (MAE) を最小化することにより、トレーニングされた ComModel をソーシャルプラットフォームの未知の圧縮アルゴリズムの微分可能な近似値として使用できます。

ステップ3: 圧縮耐性のある敵対的画像の生成

最適化目標が構築され、ComModel が敵対的画像の最適化プロセスに統合され、運動量ベースの反復法 (MI-FGSM) が最適化に使用され、最終的に生成された敵対的画像の圧縮耐性が向上します。

研究者らは、この方式では圧縮アルゴリズムの詳細は一切必要ないと述べた。元の画像と圧縮画像の適切なデータセットのみに基づいて、未知の圧縮アルゴリズムのおおよその形式をトレーニングし、さらに対応する圧縮耐性のある敵対的画像を生成することができる。したがって、この方式はすべてのソーシャルプラットフォームに適用でき、ユーザーのプライバシーを保護することができる。