把生活照 po 網,有心人士能用它「反追蹤」你!5 個技巧教你騙過人臉追蹤系統

藉由反向搜尋,恐能讓人循著發佈在網路上的照片找到你

本文經合作夥伴 品玩 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈 这样发自拍,就不用再怕隐私泄露:5 个技巧教你糊弄人脸追踪系统 〉;首圖來源:Pixels

【為什麼我們要挑選這篇文章】隨著科技蓬勃發展、社群平台的使用日益普及,你我幾乎都有上傳或被上傳個人照片到網路上的經驗,然而上傳這些足以辨識身份的照片是安全的嗎?本篇透過認識「對抗式機器學習」瞭解如何在資安危險中保護自己的隱私。(責任編輯:許雅琦)

想像你註冊了一個約會網站,上傳了照片、沒放太多的資料、避免不必要的隱私洩露,結果有無聊的人用你的照片去進行反向搜尋,找到了你的全名、工作單位、教育經歷、其它平台的帳號等等,有了這些資訊,他就能開始跟蹤你,那該會是多可怕的事情。

這並非你的錯,但我們能做什麼避免類似的情況出現呢?

一家名叫 DoNotPay 的公司,最近推出了一項人臉反識別服務,叫做 Photo Ninja:在照片中肉眼不可察覺的地方進行像素級的修改,從而破壞掉人臉辨識系統賴以工作的那些關鍵特徵。最終的結果圖片,就連 Google 這種主流搜尋引擎的圖片搜尋功能都認不出來。

例如:下面這張美國總統拜登的官方照片,一是做了鏡像處理(左右對調),還在人臉上進行了更多微弱的處理。最終結果成功騙過了 Google,讓它完全搜不出來圖中人是誰,甚至找不到類似的照片結果。

對抗式機器學習讓 Google 也難以透過以圖搜圖找到你

原圖: 

對抗式機器學習:增加噪點、攻擊算法

2015 年,Google 的 AI 研究員開發了一種全新的技術,能夠在電腦視覺的算法層面對其進行「攻擊」。

以物體為例,識別算法的工作方法,就是從非常細微的像素層面提取特徵、總結出規律,才能識別物體。 而如下圖所示,只要在像素層面加入非常微弱的「噪點」,就能夠達到攻擊效果,導致神經網路輸出完全不同的、錯誤的結果。

增加噪點,讓神經網路輸出失利

這種技術名為 對抗式機器學習(adversarial machine learning),可以用於圖像、物體和語音。今天我們介紹的 Photo Ninja,就是對抗式機器學習的一種應用。

對抗式機器學習概念的提出已經有相當長一段時間了,但隨著技術的進步,在近幾年的發展速度明顯變快。剛才提到 Google 提出的攻擊方式,在 2015 年成功擊破了 GoogLeNet,而 GoogLeNet 前一年才剛剛拿下 ImageNet 挑戰賽的冠軍……

技術沒有好壞,但用技術的人有善惡之分。對抗式機器學習也是一樣,如果到了壞人手中,它可能會引發嚴重的後果。例如:壞人可以到馬路上「破壞」停車標誌等重要的交通指示牌,雖然不會影響到一般車輛和司機,但有可能嚴重干預自動駕駛系統的正常工作,導致交通事故的發生。

不過,在 Photo Ninja 案例中,對抗式機器學習技術並沒有被濫用!

更多應用:DoNotPay—AI 律師

矽星人的讀者可能還記得我們之前寫過 DoNotPay 這家公司。作為 Compound Startup 的代表,DoNotPay 只有一個手機 app,卻包含了上百種服務 ,主要都是幫用戶省錢的,例如:自動申訴交通罰單、切斷自動續費服務、起訴電信詐騙、快速生成一次性信用卡、自動撰寫各種法律文書等——堪稱一個「AI 律師」app。

AI 律師:DoNotPay

至於 Photo Ninja,該公司宣稱,在面對亞馬遜、微軟、Google 等主流公司開發的相關人臉識別系統時,這項照片反識別技術都能夠取得大約 99% 的成功率。

棋逢敵手:Clearview AI 已能抵禦攻擊

當然, Photo Ninja 也並非沒有勢均力敵的對手 。Clearview AI 是一家專注監控市場的 AI 公司,跟全美上千家執法部門都有合作。DoNotPay 的 CEO Joshua Browder 表示,Photo Ninja 不敢保證能夠騙過 Clearview AI 的技術。

這可能是由於,Clearview AI 早就透過網際網路的公開渠道抓取並保存了超過 30 億張的人臉照片,數據量之大,甚至超過美國政府和其它矽谷大公司的程度(該公司也因此飽受輿論爭議)。

隨著對抗式機器學習技術的推進,攻擊和防禦的手段也都在進步。不排除該公司有可能已經對照片進行過修改測試,開展過對抗攻擊演練,然後進一步調整自己的識別算法——真是魔高一尺、道高一丈啊!

去年,Clearview AI 自曝數據庫被入侵,包含 600 多家客戶的名單洩露。人們擔心,擁有如此海量數據的一家監控公司,如果下一次整個圖片數據庫也失守,結果只會更加嚴重。

回到文章開頭所提出的那個情況。確實,這個年代想要安全地上網,簡直有太多需要顧慮的東西了。那麼,怎樣才能繼續發自拍,但又不用擔心被不懷好意者窺探隱私呢?

以及,如果把範疇擴大到現實生活中,監視器已經無處不在,還有什麼辦法可以讓我們至少在需要的時候,不被人臉識別系統抓到,保留最後的那一份隱私呢?

所幸,還有很多方法能夠幫助我們避開人臉及圖像識別系統,從軟體或硬體思路出發的都有,而且成本並不算高。

去年, 矽星人也有一篇文章簡要介紹過幾種能夠讓你在人臉識別系統裡「隱形」的手段。 今天,我們也可以分享更多的類似技術。

假臉(HyperFace):「圍」一張臉,欺騙辨識系統

2017 年日舞影展上,一群女性開發者展示了一款能夠騙過人臉辨識系統的圍巾。當然,圍巾只是一個用於展示技術的原型產品,我們今天僅僅介紹這項技術。

在人臉識別算法「看來」,是有一種最理想化的人臉表達樣式存在的(大概和下圖差不多):

而如果把這種樣式變成圖案,印製在圍巾、帽子、上衣上,人臉識別系統就會過於關注這些圖案,反而避開真實的人臉。如下面這張熱力/顯著圖顯示,高亮的區域是人臉識別系統最為關注的地方。

也就是說,HyperFace 的工作方式,是把人臉識別系統的注意力「帶偏」。

不過,僅就上面這個圖案來說,它的有效性已經不是很高了,因為這個圖案針對的是 OpenCV,而更新的人臉識別技術會採用卷積神經網路等更加複雜的算法,對應的圖案也不一樣,而且就算圖案做出來了,效果也無法被保證。開發團隊成員 Adam Harvey 也在項目網站上澄清,HyperFace 的原型圖案已經過時。

但是,HyperFace 背後的技術思路還是行得通的。如果感興趣的話,你可以自己找一些類似的圖案,印在圍巾上衣甚至口罩上試一試(畢竟疫情過後,一些人臉識別系統已經可以僅靠眼部露出的特徵完成識別,口罩已經不能騙過它們了,甚至帶著口罩都能解鎖 iPhone。)

變臉(URME Surveillance):買一張臉,守護隱私

很多人應該都看過吳宇森的《變臉》,劇情中 FBI 探員為了打入犯罪集團內部,自願和恐怖分子換臉,結果恐怖分子清醒後又搶走了探員的臉……

Leonardo Selvaggio 出售自己的臉以提倡隱私保護

這樣的劇情在現實中不太可能出現。不過,一位藝術家 Leonardo Selvaggio 願意把他的臉借給你,讓你每天以他的身份招搖撞騙,讓他來替代你承擔隱私洩露的風險……

Selvaggio 對自己的臉進行了高精度掃描,然後生產出超高還原度的面罩,放到網上銷售,價格 $200 美元(約折合台幣 5400 元)。他把這個項目稱為 URME(你就是我)

很遺憾,生產面罩的公司 ThatsMyFace 後來破產了,Selvaggio 還沒有找到替代的生產商。不過與此同時,用戶也可以下載臉圖的平面版,自己打印出來戴上,只是看起來很假而已……

所以本質上講,URME 並沒有對人臉識別系統帶來什麼根本性的打擊,只是用一個假身份去替代佩戴者的真實身份而已。

當然了,不用管黑貓白貓,能抓老鼠就是好貓……

加裝紅外線,破壞人臉辨識追蹤

前面我們提到,破壞掉人臉辨識系統追蹤的特徵,就可以讓這類系統失靈。和 Photo Ninja 低調的操作相比,紅外光在破壞特徵方面更加簡單和暴力。

  1. 2018 年,復旦、港中文、印第安納大學和阿里巴巴共同發表​​了一項研究,在帽子上加裝紅外 LED,對著人臉,不僅能夠騙過人臉識別系統,如果對 LED 燈的照明位置、方向進行細微的調整,從而扭曲佩戴者的面部特徵,甚至還能讓人臉識別系統以為佩戴者是其他人,如下圖:
  2. 日本國立情報學研究所的一位教授,做了一個更加直接方案,把紅外 LED 等直接放到眼鏡上。LED 開啟,人臉識別算法就無法將正確的區域識別為人臉了:

    透過光斑遮掩面孔,達到反監控效果
  3. 考慮到很多監控攝像頭本身就在使用紅外光進行照明,那麼直接把眼鏡的框架和鏡片加入紅外反射材料,會產生一個巨大的光斑,也能夠達到反監控的效果。Phantom 就是這樣一款眼鏡,由美國人 Scott Urban 製作並在 Kickstarter 上發布,售價 $148,去年 10 月底已經發貨。當你帶著這副眼鏡,其它人看到的你還是正常的樣子:

然而在紅外攝像頭拍到的畫面中,你看起來像神一樣:

貼上魔性貼紙,讓人不再是人

三位比利時科學家曾經做過一個有趣的實驗:只是在身上加了一塊怪異的貼圖,在電腦的眼裡,人就不再是人了:

穿戴印花的人在監視器系統下真的「隱形」了

這個方法同樣利用了本文前面提到的對抗式機器學習,只是效果更肉眼可見而已。或者換一種說法:這個方法更好地解釋了基於圖片的對抗攻擊方式的工作原理。出於某些原因,這些貼圖會破壞人形的特徵,讓識別系統無法正常工作。

穿上印花讓你從此在監視器前隱形

理論上,我們可以專門生產帶有這類印花的服裝,穿上它走到監視器面前,其實就跟隱形了一樣……

綜上所述,想要騙過人臉識別系統和無處不在的監視器,還是有很多種途徑的。只是,隨著監控技術的不斷進步和大規模推廣,無論是在網上還是在現實中,想要完全保持「匿名」只會變得越來越難。

而就像本文一開始提的那個例子,在這樣的環境中,那些監控技術濫用的受害者,並不一定是這些系統想要打擊的壞人,反而更有可能是無辜者。

本文經合作夥伴 品玩 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈 这样发自拍,就不用再怕隐私泄露:5 个技巧教你糊弄人脸追踪系统 〉;首圖來源:Pixels

你可能會有興趣


訂閱《TechOrange》每日電子報!

每天一早,需要來根知識能量棒? TechOrange 與你一起,吸收世界新知識、消化科技新局勢。點我訂閱電子報 ,取得最新深度報導。

點關鍵字看更多相關文章: