Uso de aprendizaje automático adversarial, investigadores …



Para los usuarios que buscan privacidad, buenas noticias: los informáticos están encontrando más formas de frustrar el reconocimiento facial y de imágenes. Pero también hay malas noticias: las ganancias probablemente serán de corta duración.

Identificación de sospechosos utilizando bases de datos masivas de imágenes faciales. Ataques de reputación a través de movies falsos profundos. Acceso de seguridad utilizando la cara como biométrica. El reconocimiento facial se está convirtiendo rápidamente en una tecnología disruptiva con pocos límites impuestos por la política de privacidad.

Sin embargo, los investigadores académicos han encontrado formas de causar, al menos temporalmente, problemas para ciertas clases de algoritmos de reconocimiento facial, aprovechando las debilidades en el algoritmo de entrenamiento o el modelo de reconocimiento resultante. La semana pasada, un equipo de investigadores en ciencias de la computación de la Universidad Nacional de Singapur (NUS) publicó una técnica que localiza las áreas de una imagen donde los cambios pueden alterar mejor los algoritmos de reconocimiento de imágenes, pero donde esos cambios son menos perceptibles para los humanos.

La técnica es normal, ya que puede usarse para desarrollar un ataque contra otros algoritmos de aprendizaje automático (ML), pero los investigadores solo desarrollaron una instancia específica, dice Mohan Kankanhalli, profesor en el Departamento de Informática del NUS y coautor de un artículo sobre el ataque de confrontación.

«Actualmente, necesitamos conocer la clase (del algoritmo) y podemos desarrollar una solución para eso», dice. «Estamos trabajando en su generalización, para tener una solución que funcione para cada clase, genuine y futura. Sin embargo, eso no es trivial y, por lo tanto, anticipamos que llevará tiempo».

los investigación plantea la posibilidad de crear fotos que las personas puedan percibir fácilmente pero que frustran los algoritmos de reconocimiento facial comúnmente utilizados. Convertida en un filtro, por ejemplo, la técnica podría permitir a los usuarios agregar cambios imperceptibles a las fotos para que sea más difícil para los algoritmos de ML clasificar y frustrar el desarrollo de motores de búsqueda de imágenes inversas.

Tales métodos, sin embargo, actualmente aprovechan la fragilidad de los algoritmos de entrenamiento. A medida que las empresas centradas en ML desarrollen algoritmos más robustos, los usuarios de World-wide-web que buscan privacidad tendrán que decidir si degradan las fotos hasta el punto en que los cambios sean notables para los humanos.

«Es un problema muy difícil porque las imágenes en sí mismas tienen utilidad para nosotros», dice Joey Bose, un estudiante de doctorado en ciencias de la computación en la Universidad McGill, quien investigaciones adversas publicadas relacionadas sobre el LD en 2018. «Pero la única forma segura de garantizar la privacidad es eliminar el contenido de la imagen, y si elimina el contenido, se vuelve menos útil».

Los desarrollos se producen cuando varias compañías están utilizando, algunos dirían que abusan, la gran cantidad de contenido de imágenes fácilmente disponible en Internet. Los sitios de redes sociales facilitan la recopilación de una enorme cantidad de imágenes para entrenar redes neuronales, lo que permite a las empresas crear sofisticados modelos de reconocimiento o convertir las fotos de las personas en movies falsos. Clearview.ai, una compañía que vende su capacidad para encontrar la presencia en línea de las personas a partir de una foto proporcionada, recopiló cientos de millones de fotos de sitios de redes sociales para crear su gran motor de búsqueda de imágenes inversas.

La técnica NUS debe adaptarse a la clase específica de reconocimiento facial, lo que significa que los investigadores deben conocer los detalles del sistema de reconocimiento facial. Solo entonces pueden crear una técnica para confundir ese enfoque.

Si bien estas técnicas podrían ayudar a las personas a proteger sus imágenes y su privacidad, la mayor parte de la investigación está dirigida a prevenir tales ataques en el futuro: lejos de atacar los algoritmos de ML, los investigadores básicamente realizan el papel de un equipo rojo, verificando la calidad de las modelos, dice McGill&#39s Bose.

«La investigación puede informar las políticas y ayudar a las compañías a saber lo que necesitan verificar antes de que estos sistemas se pongan en libertad», dice. «Los mejores modelos son más confiables».

E incluso si los investigadores encontraron un enfoque que pudiera frustrar los enfoques más comunes para el reconocimiento facial, los fabricantes de sistemas de vigilancia probablemente podrían encontrar formas de evitar la tecnología, dice Kankanhalli de la Universidad Nacional de Singapur.

Cualquier éxito será «temporal en el sentido de que es como un juego de gato y ratón», explica Kankanhalli. «Habrá mejores técnicas desarrolladas por los recolectores de datos, y en respuesta habrá mejores técnicas de privacidad para contrarrestarlas. Probablemente nunca habrá una solución final en áreas problemáticas en constante evolución».

A diferencia del cifrado, que puede proporcionar privacidad incluso contra adversarios bien financiados, los ataques ML a menudo solo funcionan hasta que el modelo se vuelva a entrenar, dice. La mejor manera de limitar la inteligencia synthetic es a través de la política, dice Kankanhalli.

«Cuando los consumidores desaprueban a las empresas que violan la privacidad, habrá una reacción violenta contra ellos, lo que cambiará el comportamiento de dichas empresas», dice. «Nosotros, como consumidores y usuarios, debemos articular lo que es aceptable y lo que no lo es. Creo firmemente que necesitamos trabajar en estos tres frentes para abordar este problema de recolección de datos».

Contenido relacionado:

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Reading through, MIT&#39s Technological know-how Assessment, Well-liked Science y Wired Information. Cinco premios para periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia first