議題背景

AI的人臉辨識技術,讓需要辨識身分的數位服務更加便利,例如許多人擔憂臉書辨識照片的AI技術,會更容易洩漏個人資訊;但另一方面,有團隊正研究如何運用AI來保護照片的隱私。

根據芝加哥大學電腦科學系實驗室(SAND Lab. Security, Algorithms, Networking and Data)的研究,運用AI的一種演算法所開發的新軟體「Fawkes」,可以幫照片加上像素等級且難以察覺的細微改變,讓臉部辨識系統無法正確認出照片中的人。此篇研究於2020年8月發表在第29屆USENIX安全研討會(29th USENIX Security Symposium)。研討會由高等計算系統協會所贊助。

相關新聞與討論:

究竟「Fawkes」這個新軟體為什麼可以對抗臉部辨識系統,並保護照片?只要運用Fawkes就不用擔心照片洩漏隱私的問題嗎?我們邀請專家釋疑。

專家怎麼說?

2020年9月7日
國立屏東科技大學資訊管理系助理教授 許志仲

根據SAND Lab的研究,Fawkes主要是透過「對抗生成網路」(Generative adversarial nets,GANs)的延伸技術,例如對抗攻擊(Adversarial attack),或是擾動(Perturbation)的技術[註1],來欺騙目前已知的各種人臉辨識系統。上述兩種技術的目標都是希望可以發展出一個人眼幾乎不可見,且以最小程度改變原影像的干擾訊號,將此干擾訊號加入原本圖像之後,使得已知各種運用卷積神經網路(CNN)技術[註2]的人臉辨識系統,無法辨識出原本影像類別,或甚至辨識成其他不相關物件,例如將車子辨識為貓。用擾動的技術來欺騙人臉辨識系統,雖然可以保護照片隱私,但也可以欺騙其它的辨識系統,所以也帶來許多安全的隱憂。例如自駕車視覺系統,如果擾動速限標誌的影像,變成沒有速限;或是前方有其他車子,卻因為擾動技術,把車子辨識為道路,就非常危險。而且要運用Fawkes軟體保護照片隱私,需要先由人類設定訓練Fawkes對抗雜訊的目標,可能是希望讓辨識系統無法辨識,或辨識錯誤。依據不同的目標,訓練AI的方法不同,因此,不見得可以直接應用到其他的照片上。

現在許多人工智慧系統可以快速且精準的偵測人臉,並辨識其身分,雖然可以應用在許多有封閉網路的安全系統上,例如保安系統、海關自動通關系統等,但也容易造成使用者隱私洩漏的疑慮。多數人不願意自己隱私被侵犯,希望現在的系統可以保護自己的隱私,或是讓人臉辨識系統失效,Fawkes可以做到後者。然而人臉辨識系統的更新是日新月異,難保未來有其他新型態的人臉辨識系統可以成功辨識出這些受干擾的人臉影像,所以Fawkes對於隱私保護,其實有限。一般做人臉影像辨識相關應用的時候,研究人員或廠商要先收集照片來訓練AI,但使用者可能根本不想給自己以外的人看到照片。因此讓AI無法辨識照片,是否就能保護隱私,我覺得可以再討論。

但利用AI去對抗AI,並非真正解決之道,比較可行的方案應該是用隱私運算的方法,例如同態加密 (Homomorphic encryption)[註3],但因為目前電腦用隱私運算方法的速度很慢,尚未能實際應用。若培養使用者的隱私保護概念,讓大家了解使用AI相關應用下可能的隱私道德風險,較能避免照片隱私洩漏。

2020年9月11日
國立交通大學智慧科學暨綠能學院副教授 魏澤人

「Fawkes」這個像魔術一樣的技術,主要的原理在於電腦的視覺判斷方式和人類不完全一樣,目前人臉辨識的方法,很多是擷取臉部的視覺特徵後,再加以比對。Fawkes在圖片中,增加一點肉眼看不到的小擾動,讓電腦擷取的圖片特徵近似於另外一個人,用這種方式混淆人臉辨識系統。

但目前的電腦視覺利用深度學習的技術還是跟人眼辨識不一樣,之前也有研究嘗試使用和Fawkes原理類似的對抗攻擊[註1]技術,可以混淆電腦視覺,例如讓電腦把數字「3」錯誤的辨識成「8」。[註4]所以我們已經知道有視覺上看不出的小擾動,足以干擾深度學習模型。Fawkes 主要的特點,是實際驗證這個擾動的方法可以有效的同時混淆很多現有的人臉辨識系統。

相對應的,也有較能抵抗這類小擾動的電腦辨識模型。Fawkes的報告中,也有針對這類模型試驗,發現 Fawkes 還是有效果,但效果較低一點。如果針對隱私很注重的人,可以讓小擾動的幅度大一點,就能維持較佳的隱私。

長期來說,我認為除非電腦視覺的研究停滯不前,否則電腦視覺的判斷技術應該會更穩定,這類保護隱私的方式會失效。但短期內,這種方式還是能達到一定的隱私保護效果。

註釋與參考資料:

[註1]對抗攻擊(Adversarial attack)或擾動(Perturbation)技術:擾動的技術是對抗攻擊的其中一種方法,但是目的都是對原本的圖像做細微且人眼無法分辨的修改,讓其它的AI辨識系統辨識錯誤或無法辨識。

[註2] 關於卷積神經網路(CNN)技術的解釋歡迎參考〈深度學習卷積神經網路用於醫療診斷─專家QA

[註3] 同態加密 (Homomorphic encryption):這種特殊的加密方法,可以讓多個資料不用解密就可以進入雲端計算,計算時因為不包含解密過程,所以不會被得知加密方法和機密資訊。

[註4] Papernot, N., McDaniel, P., Goodfellow, I., Jha, S., Celik, Z. B., and Swami, A. (2017). “Practical black-box attacks against machine learning.Proceedings of the 2017 ACM on Asia conference on computer and communications security (pp. 506-519).

版權聲明

本文歡迎媒體轉載使用,惟需附上資料來源,請註明新興科技媒體中心。
若有採訪需求或其他合作事宜,請聯絡媒體公關:

曾雨涵

haharain331@rsprc.ntu.edu.tw
02-3366-3366#55925