社交媒體平臺(tái)正在泄露你的個(gè)人隱私。

一張自拍照就能夠識(shí)別出姓名、聯(lián)系方式、家庭住址，這對(duì)于面部識(shí)別技術(shù)來(lái)說(shuō)，可能已經(jīng)不是什么難事兒。換句話說(shuō)，只要能夠獲取到照片數(shù)據(jù)，面部識(shí)別技術(shù)就能輕松獲取個(gè)人敏感信息。

如今，我們?cè)谏缃幻襟w上的大量曝光，獲取這些照片數(shù)據(jù)也變得很容易。此前，美國(guó)面部識(shí)別公司便創(chuàng)建了一個(gè)約有30 億張圖像的超大容量人臉數(shù)據(jù)庫(kù)，而這些數(shù)據(jù)均從 Facebook，Venmo，YouTube 等社交媒體平臺(tái)抓取而來(lái)。

無(wú)處不在的面部識(shí)別技術(shù)和未經(jīng)授權(quán)的數(shù)據(jù)獲取已經(jīng)對(duì)個(gè)人隱私造成了嚴(yán)重威脅。面對(duì)這些威脅，芝加哥大學(xué)Sand Lab團(tuán)隊(duì)提出了一種新的解決思路——或許我們可以為照片添加一層“隱身衣”！

人臉識(shí)別的克星Fawkes

Fawkes ，已經(jīng)讓曠視、微軟、亞馬遜等公司的面部識(shí)別算法失靈。

來(lái)自芝加哥的調(diào)查團(tuán)隊(duì)稱。Fawkes的正是為照片添加防識(shí)別“隱身衣”的AI軟件，經(jīng)檢測(cè)，它已經(jīng)在最先進(jìn)的面部識(shí)別技術(shù)中取得了百分百的勝利。

我們先來(lái)看一組圖片。

相信你很難看出兩組照片有任何差別。事實(shí)上，后者已經(jīng)過(guò)了Fawkes處理，并能夠屏蔽任何人臉識(shí)別算法。

研究人員介紹，F(xiàn)awkes軟件對(duì)人臉圖像進(jìn)行了像素級(jí)的細(xì)微更改，肉眼幾乎無(wú)法察覺(jué)到。而任何掃描這些圖像的算法都會(huì)將這些“高度失真”的圖片視為完全不同的人。

而且，F(xiàn)wkes的處理速度很快，單個(gè)圖像僅需要幾分鐘。

如此說(shuō)來(lái)，經(jīng)過(guò)Fawks快速處理的圖像，可以在不改變?cè)驳幕A(chǔ)上，隨意分享在各大社交媒體平臺(tái)，而不用擔(dān)心照片被相關(guān)公司隨意抓取或用于非法途徑。

據(jù)了解，F(xiàn)awkes的命名取自Guy Fawkes Mask（蓋伊·福斯克面具）。該面具形象是英國(guó)插圖畫(huà)家大衛(wèi)·勞埃德（David Lloyd）以16世紀(jì)英國(guó)陰謀家蓋伊·福克斯的臉為原型而創(chuàng)造。最早出現(xiàn)在漫畫(huà)《V 字仇殺隊(duì)》中。研究人員以此表示，通過(guò)AI技術(shù)巧妙地，不可察覺(jué)地更改照片以欺騙面部識(shí)別系統(tǒng)。

研究團(tuán)隊(duì)表示，他們希望Fawkes能夠被廣泛部署和使用，以降低個(gè)人隱私泄露的風(fēng)險(xiǎn)。因此，F(xiàn)awkes已經(jīng)完全對(duì)外開(kāi)放，任何人都可以下載和使用，Windows和Macs系統(tǒng)均可以支持。據(jù)統(tǒng)計(jì)，這款軟件已經(jīng)被下載超過(guò)100,000次。

下載連接：http://sandlab.cs.uchicago.edu/fawkes/#paper

Fawkes“隱身衣”的實(shí)現(xiàn)過(guò)程

目前Fawkes軟件已經(jīng)升級(jí)到V0.3版本。V0.3更新了目標(biāo)選擇算法，比此前的V0.1、V0.2相比，可顯著降低偽裝后攝動(dòng)偽像的可能性。目前，關(guān)于它的技術(shù)論文已經(jīng)對(duì)外開(kāi)放。據(jù)了解，該論文將在8月12日至14日舉行的USENIX安全研討會(huì)上正式發(fā)表。

論文中表明，在此項(xiàng)研究取得了以下幾個(gè)關(guān)鍵的發(fā)現(xiàn)。

?以肉眼無(wú)法察覺(jué)的擾動(dòng)對(duì)圖像的特征空間表示進(jìn)行更改。

?不管跟蹤器（Tracker ）如何訓(xùn)練其模型，圖像偽裝都可為用戶識(shí)別提供95％以上的保護(hù)。

?結(jié)果使用Microsoft（Azure Face API），Amazon（Rekognition）和Face ++的最新面部識(shí)別進(jìn)行檢測(cè)，F(xiàn)awkes模型可以100％成功。

對(duì)于以上的研究發(fā)現(xiàn)，論文中也給出了明確的說(shuō)明。我們可以看到，整個(gè)系統(tǒng)分為用戶圖像和模型驗(yàn)證兩個(gè)階段。

前者是基于Fawkes算法來(lái)生成用戶圖像的偽裝版本，后者是通過(guò)追蹤器（Tracker ）從網(wǎng)絡(luò)資源中檢索偽裝的圖像，并使用它們來(lái)訓(xùn)練未經(jīng)授權(quán)的面部識(shí)別模型。最終可以發(fā)現(xiàn)模型輸出的圖像與原始圖像并不相同。

其中，F(xiàn)awkes算法整個(gè)系統(tǒng)的關(guān)鍵。在這里，研究人員利用特征提取器Φ和目標(biāo)圖像T，對(duì)原始圖像進(jìn)行偽裝處理，這些目標(biāo)圖像T均來(lái)自可公開(kāi)獲得的數(shù)據(jù)集（均大于500K）。

為了確保偽裝圖像在視覺(jué)上與原始圖像基本相似，研究人員采用DSSIM來(lái)衡量二者的差異，實(shí)驗(yàn)結(jié)果表示，DSSIM均小于0.007。（DSSIM是衡量用戶感知圖像失真程度的方法）。

此外，研究人員認(rèn)為，通過(guò)提高用戶特征提取器的魯棒性來(lái)實(shí)現(xiàn)可移植性。這一目標(biāo)需要通過(guò)對(duì)抗訓(xùn)練來(lái)完成。該訓(xùn)練采用擾動(dòng)數(shù)據(jù)訓(xùn)練模型，可以使輸入的目標(biāo)圖像不那么敏感。具體來(lái)說(shuō)，對(duì)于每個(gè)特征提取器，使用PGD攻擊（一種廣泛用于對(duì)抗訓(xùn)練的方法）來(lái)生成對(duì)抗示例，然后將更新后的特征提取器用于在PubFig和FaceScrub數(shù)據(jù)集上生成用戶偽裝圖像。

結(jié)果表明，每個(gè)健壯的特征提取器都會(huì)產(chǎn)生隱身衣（Cloaks），而且這些隱身衣幾乎可以完美地轉(zhuǎn)移到跟蹤器的模型中?？梢钥吹剑櫰魇褂闷渌卣魈崛∑鲿r(shí)，其隱身衣的保護(hù)成功率均大于 95％。

最后為驗(yàn)證圖像實(shí)際的偽裝效果，研究人員將經(jīng)過(guò)Fawkes處理過(guò)的圖像泄露給了基于云平臺(tái)的面部識(shí)別系統(tǒng)，包括Microsoft Azure Face ，Amazon Rekognition 和Face ++ 。 

這些是面部識(shí)別系統(tǒng)是全球最領(lǐng)先技術(shù)，被廣泛用于美國(guó)和亞洲的企業(yè)，警察，私人實(shí)體以及政府。結(jié)果來(lái)看，F(xiàn)awkes對(duì)圖像的保護(hù)率達(dá)到了100%。

需要了解論文詳細(xì)內(nèi)容，可點(diǎn)擊鏈接：https://www.shawnshan.com/files/publication/fawkes.pdf

引用鏈接：雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

https://github.com/Shawn-Shan/fawkes

https://www.nytimes.com/2020/08/03/technology/fawkes-tool-protects-photos-from-facial-recognition.html

https://www.theverge.com/2020/8/4/21353810/facial-recognition-block-ai-selfie-cloaking-fawkes

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。