深度學(xué)習(xí)技術(shù)讓反人臉識(shí)別技術(shù)和人臉識(shí)別技術(shù)的人工智能算法相互對(duì)抗

多倫多大學(xué)研究人員設(shè)計(jì)新算法，通過(guò)動(dòng)態(tài)地干擾人臉識(shí)別工具來(lái)保護(hù)用戶的隱私。結(jié)果表明，他們的系統(tǒng)可以將原本可檢測(cè)到的人臉比例從接近100%降低到0.5％。

在一些社交媒體平臺(tái)，每次你上傳照片或視頻時(shí)，它的人臉識(shí)別系統(tǒng)會(huì)試圖從這些照片和視頻中得到更多信息。比如，這些算法會(huì)提取關(guān)于你是誰(shuí)、你的位置以及你認(rèn)識(shí)的其他人的數(shù)據(jù)，并且，這些算法在不斷改進(jìn)。

現(xiàn)在，人臉識(shí)別的克星——“反人臉識(shí)別”問(wèn)世了。

多倫多大學(xué)Parham Aarabi教授和研究生Avishek Bose的團(tuán)隊(duì)開(kāi)發(fā)了一種算法，可以動(dòng)態(tài)地破壞人臉識(shí)別系統(tǒng)。

他們的解決方案利用了一種叫做對(duì)抗訓(xùn)練（adversarial training）的深度學(xué)習(xí)技術(shù)，這種技術(shù)讓兩種人工智能算法相互對(duì)抗。

現(xiàn)在，深度神經(jīng)網(wǎng)絡(luò)已經(jīng)被應(yīng)用于各種各樣問(wèn)題，如自動(dòng)駕駛車(chē)輛、癌癥檢測(cè)等，但是我們迫切需要更好地理解這些模型容易受到攻擊的方式。在圖像識(shí)別領(lǐng)域，在圖像中添加小的、往往不可察覺(jué)的干擾就可以欺騙一個(gè)典型的分類(lèi)網(wǎng)絡(luò)，使其將圖像錯(cuò)誤地分類(lèi)。

這種被干擾的圖像被稱為對(duì)抗樣本（ adversarial examples），它們可以被用來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行對(duì)抗攻擊（adversarial attacks）。在制造對(duì)抗樣本方面已經(jīng)有幾種方法，它們?cè)趶?fù)雜性、計(jì)算成本和被攻擊模型所需的訪問(wèn)級(jí)別等方面差異很大。

一般來(lái)說(shuō)，對(duì)抗攻擊可以根據(jù)攻擊模型的訪問(wèn)級(jí)別和對(duì)抗目標(biāo)進(jìn)行分類(lèi)。白盒攻擊（white-box attacks）可以完全訪問(wèn)它們正在攻擊的模型的結(jié)構(gòu)和參數(shù)；黑盒攻擊（black-box attacks）只能訪問(wèn)被攻擊模型的輸出。

一種基線方法是快速梯度符號(hào)法（FGSM），它基于輸入圖像的梯度對(duì)分類(lèi)器的損失進(jìn)行攻擊。FGSM是一種白盒方法，因?yàn)樗枰L問(wèn)被攻擊分類(lèi)器的內(nèi)部。攻擊圖像分類(lèi)的深度神經(jīng)網(wǎng)絡(luò)有幾種強(qiáng)烈的對(duì)抗攻擊方法，如L-BFGS、acobian-based Saliency Map Attack(JSMA)、DeepFool和carlin - wagner等。然而，這些方法都涉及到對(duì)可能的干擾空間進(jìn)行復(fù)雜的優(yōu)化，這使得它們速度慢，計(jì)算成本高。

與攻擊分類(lèi)模型相比，攻擊目標(biāo)檢測(cè)的pipeline要困難得多。最先進(jìn)的檢測(cè)器，例如Faster R-CNN，使用不同尺度和位置的對(duì)象方案，然后對(duì)它們進(jìn)行分類(lèi)；其目標(biāo)的數(shù)量比分類(lèi)模型大幾個(gè)數(shù)量級(jí)。

此外，如果受到攻擊的方案只是總數(shù)的一小部分，那么仍然可以通過(guò)不同的方案子集正確地檢測(cè)出受干擾的圖像。因此，成功的攻擊需要同時(shí)欺騙所有對(duì)象方案。

在這個(gè)案例中，研究人員證明了對(duì)最先進(jìn)的人臉檢測(cè)器進(jìn)行快速對(duì)抗攻擊是可能的。

研究人員開(kāi)發(fā)了一種“隱私濾鏡”，可以干擾人臉識(shí)別算法。該系統(tǒng)依賴于2種AI算法：一種執(zhí)行連續(xù)的人臉檢測(cè)，另一種設(shè)計(jì)來(lái)破壞前者。

研究人員提出一種針對(duì)基于Faster R-CNN的人臉探測(cè)器的新攻擊方法。該方法通過(guò)產(chǎn)生微小的干擾（perturbation），當(dāng)將這些干擾添加到輸入的人臉圖像中時(shí)，會(huì)導(dǎo)致預(yù)訓(xùn)練過(guò)的人臉探測(cè)器失效。

為了產(chǎn)生對(duì)抗干擾，研究人員提出針對(duì)基于預(yù)訓(xùn)練Faster R-CNN人臉檢測(cè)器訓(xùn)練一個(gè)生成器。給定一個(gè)圖像，生成器將產(chǎn)生一個(gè)小的干擾，可以添加到圖像中以欺騙人臉檢測(cè)器。人臉檢測(cè)器只在未受干擾的圖像上進(jìn)行脫機(jī)訓(xùn)練，因此對(duì)生成器的存在渾然不覺(jué)。

隨著時(shí)間的推移，生成器學(xué)會(huì)了產(chǎn)生干擾，這種干擾可以有效地欺騙它所訓(xùn)練的人臉探測(cè)器。生成一個(gè)對(duì)抗樣本相當(dāng)快速而且成本低，甚至比FGSM的成本更低，因?yàn)闉檩斎雱?chuàng)建一個(gè)干擾只需要在生成器經(jīng)過(guò)充分的訓(xùn)練后進(jìn)行前向傳遞（ forward pass）。

兩個(gè)神經(jīng)網(wǎng)絡(luò)相互對(duì)抗，形成“隱私”濾鏡

研究人員設(shè)計(jì)了兩個(gè)神經(jīng)網(wǎng)絡(luò)：第一個(gè)用于識(shí)別人臉，第二個(gè)用于干擾第一個(gè)神經(jīng)網(wǎng)絡(luò)的識(shí)別人臉任務(wù)。這兩個(gè)神經(jīng)網(wǎng)絡(luò)不斷地相互對(duì)抗，并相互學(xué)習(xí)。

其結(jié)果是一個(gè)類(lèi)似instagram的“隱私”濾鏡，可以應(yīng)用于照片，以保護(hù)隱私。其中的秘訣是他們的算法改變了照片中的一些特定像素，但人眼幾乎察覺(jué)不到這些變化。

“干擾性的AI算法不能‘攻擊’用于檢測(cè)人臉的神經(jīng)網(wǎng)絡(luò)正在尋找的東西?！?該項(xiàng)目的主要作者Bose說(shuō)：“例如，如果檢測(cè)網(wǎng)絡(luò)正在尋找眼角，干擾算法就會(huì)調(diào)整眼角，使得眼角的像素不那么顯眼。算法在照片中造成了非常微小的干擾，但對(duì)于檢測(cè)器來(lái)說(shuō)，這些干擾足以欺騙系統(tǒng)?！?/p>

算法1：對(duì)抗生成器訓(xùn)練

給定人臉檢測(cè)置信度的對(duì)抗成功率。α值是邊界框區(qū)域被分類(lèi)為人臉之前的confidence threshold，右邊兩列表示600張照片中檢測(cè)到臉部的數(shù)量。

研究人員在300-W人臉數(shù)據(jù)集上測(cè)試了他們的系統(tǒng)，該數(shù)據(jù)集包含多種族，不同照明條件和背景環(huán)境的超過(guò)600張人臉照片，是一個(gè)業(yè)界的標(biāo)準(zhǔn)庫(kù)。結(jié)果表明，他們的系統(tǒng)可以將原本可檢測(cè)到的人臉比例從接近100%降低到0.5％。

所提出的對(duì)抗攻擊的pineline，其中生成器網(wǎng)絡(luò)G創(chuàng)建圖像條件干擾，以欺騙人臉檢測(cè)器。

Bose說(shuō)：“這里的關(guān)鍵是訓(xùn)練兩個(gè)神經(jīng)網(wǎng)絡(luò)相互對(duì)抗——一個(gè)創(chuàng)建越來(lái)越強(qiáng)大的面部檢測(cè)系統(tǒng)，另一個(gè)創(chuàng)建更強(qiáng)大的工具來(lái)禁用面部檢測(cè)?！痹搱F(tuán)隊(duì)的研究將于即將舉行的2018年IEEE國(guó)際多媒體信號(hào)處理研討會(huì)上發(fā)表和展示。

將300-W數(shù)據(jù)集的人臉檢測(cè)和相應(yīng)的對(duì)抗樣本進(jìn)行對(duì)比，這些樣本具有生成的干擾，沒(méi)有被Faster R-CNN人臉檢測(cè)器檢測(cè)到。被檢測(cè)到的人臉被包圍在具有相應(yīng)置信度值的邊界框中。 為了可視化，干擾被放大了10倍。

除了禁用面部識(shí)別之外，這項(xiàng)新技術(shù)還會(huì)干擾基于圖像的搜索、特征識(shí)別、情感和種族判斷以及其他可以自動(dòng)提取面部屬性。

接下來(lái)，該團(tuán)隊(duì)希望通過(guò)app或網(wǎng)站公開(kāi)這個(gè)隱私濾鏡。

“十年前，這些算法必須要由人類(lèi)定義，但現(xiàn)在是神經(jīng)網(wǎng)絡(luò)自己學(xué)習(xí)——你不需要向它們提供任何東西，除了訓(xùn)練數(shù)據(jù)，”Aarabi說(shuō)。“最終，它們可以做出一些非常了不起的事情，有巨大的潛力。”