Исследователи из Университета Карнеги — Меллона обнаружили, что современные системы компьютерного зрения, специализирующиеся на распознавании человеческого лица, можно обмануть с помощью бумажных очков со специальным узором. На исследование обратил внимание автор блога prosthetic knowledge.
Современные системы видеонаблюдения могут с помощью методов машинного обучения определить присутствие человека в кадре, а также определить личность человека по лицу. Если по каким-либо причинам человек хочет остаться неопознанным такой системой, ему необходимо частично или полностью скрыть лицо.
Авторы статьи предложили для обмана интеллектуальных систем видеонаблюдения использовать очки со специальным узором, который осложняет для алгоритма распознавание лица. В своей работе ученые использовали онлайн-платформу машинного обучения Face++, которая специализируется именно на распознавании и анализе человеческих лиц. При этом исследователям удалось с помощью очков как полностью стать «невидимым» для системы, так и выдать человека в очках за другую личность.
Для распознавания лиц исследователи обучили три разных нейросети с помощью методов глубокого машинного обучения. Основная нейросеть была обучена на базе 2622 знаменитостей (приблизительно по тысяче фотографий для каждой личности), а другие две нейросети были обучены на ее основе методом переноса обучения (transfer learning). Такое обучение на основе слоев другой нейросети позволяет уменьшить набор данных, используемых для повторной тренировки системы, в данном случае ученые использовали около 40 фотографий каждого человека. Первая из «вторичных» нейросетей была обучена распознавать пять сотрудников лаборатории и пять знаменитостей, а вторая 143 человека, среди которых было 140 знаменитостей и трое авторов публикации. После завершения тренировки нейросетей они обе показали точность распознавания выше 96 процентов.
Трое авторов работы, фотографии которых использовались в обучающих выборках «вторичных» нейросетей, сами участвовали в качестве испытуемых в пяти фотоcессиях, на которых было сделано от 30 до 50 фотографий каждого ученого. В первой сессии испытуемые фотографировались без специальных очков для анализа изображения и разработки узоров, а на остальных сессиях они фотографировались в очках, узор на которых позволял полностью «исчезнуть» или выдать себя за другого человека.
В результате исследователи пришли к выводу, что очки со специальным узором крайне надежны для обмана нейросетей. В серии проведенных экспериментов использовалась простая оправа очков без стекол, на которую крепилась цветная накладка с узором, которая была напечатана обычным струйным принтером на фотобумаге. Вся конструкция занимала около шести процентов общего числа пикселей, анализируемых нейросетями при распознавании лица.
При экспериментах с «исчезновением» вторая нейросеть, натренированная на 143 людях, не смогла увидеть ни одного из авторов в 100 процентах случаев. Первая нейросеть, натренированная на 10 людях, показала более интересный результат: два испытуемых успешно спрятались (97,22 и 100 процентов), а третий был «невидим» только в 80 процентах случаев. В остальных 20 процентах случаев нейросеть верно определяла присутствие человека в кадре. Сами исследователи отмечают, что это может быть связано с тем, что он единственный из трех, кто носит обычные очки, поэтому был в них на фотографиях в обучаемой выборке. Кроме того, в данном случае третий испытуемый был единственным, кто использовал увеличенные специальные очки — они закрывали около 10 процентов площади лица.
В экспериментах с подменой личности ученым также удалось добиться интересных результатов. Например, нейросети «поверили», что авторы статьи в цветных бумажных очках это: Мила Йовович (87,87 процента), Карсон Дейли (100 процентов) и Джон Малкович (100 процентов), также один из исследователей смог выдать себя за другого соавтора публикации (88 процентов). При этом Колина Пауэлла и Клайва Оуэна подменить оказалось сложнее, для них точность распознавания исследователей в бумажных очках составила 16,22 и 16,13 процента соответственно.
Это не первая работа, посвященная обману распознающих изображения нейросетей. Например, сотрудники Google и OpenAI недавно продемонстрировали метод обмана нейросети, который также потенциально может использоваться для обхода системы распознавания лиц.