科技的不断发展,人们从最初听到人脸识别就很新奇到现在人脸识别技术已经应用到我们的生活当中,最为人们熟知的便是苹果公司的人脸识别解锁、付款,经过长期的发展与技术迭代演进后,人脸识别技术已非常成熟并广泛的应用到例如智能交通、刑侦、金融社会福利、电子商务等各领域当中,主要用来进行身份识别。然而现在,人脸识别的克星“反人脸识别”来了,可动态的破坏人脸识别系统。
发明反人脸识别的,正是来自多伦多大学的Parham Aarabi教授与研究生Avishek Bose组成的研究团队,他们称其为对抗训练(adversarial trAIning)的深度学习技术,该技术可以让两种人工智能算法相互对抗。
实际上,深度神经网络已被应用于各个领域,像自动驾驶、癌症检测等等,但于我们而言是更迫切的理解这些模型容易受到哪些攻击。以图像识别领域来说,当我们在图像中添加细小而不被察觉的干扰因素时,就能欺骗一个典型的分类网络,使其将图像错误地分类。
这种被干扰的图像我们称其为对抗样本(adversarial examples),它们可被用来对网络进行对抗攻击。目前,在制造对抗样本方面已经有了几种方法,每种方法在复杂性、计算成本以及被攻击模型所需的访问级别等方面,差异很大;且根据攻击模型的访问级别和对抗目标,一般分为可以完全访问它们正在攻击的模型的结构和参数的“白盒攻击”,以及只能访问被攻击模型的输出的“黑盒攻击”。
一段时间后,生成器学会了产生干扰,这种干扰可以有效地欺骗它所训练的人脸探测器,快速的生成一个对抗样本,其成本甚至比FGSM的成本更低,因为为输入创建一个干扰只需要在生成器经过充分的训练后进行前向传递(forward pass)。
该项目的主要作者Avishek Bose介绍称:“干扰性的AI算法不能‘攻击’用于检测人脸的神经网络正在寻找的东西。例如,若检测网络正在寻找眼角,那么干扰算法就会调整眼角,令眼角的像素不那么显眼。算法在照片中造成了非常微小的干扰,但对于检测器来说,这些干扰足以欺骗系统。”
研究人员在300W人脸数据集(包含多种族、不同照明条件、背景环境,超过600张人脸照片,是业界的标准库)上测试了他们所研发的系统,结果表明,他们的系统能将原本可检测到的人脸比例从接近100%降低到0.5%。换言之,反人脸识别的身份欺骗成功率高达99.5%。
除了禁用面部识别外,该技术还会干扰基于图像的搜索、特征识别、情感和种族判断以及其他可以自动提取面部属性。其关键在于,训练两个神经网络相互对抗,即一个创建越来越强大的面部检测系统,另一个创建更强大的工具来禁用面部检测。除了训练数据,该技术的未来市场潜力无疑是巨大的。