Исследователи научились генерировать изображения лиц, обманывающие системы распознавания
Израильские исследователи в своей новой работе описали процесс создания девяти лиц, функционально напоминающих систему «мастер-ключей». Метод позволяет сгенерировать лица, способные с высокой вероятностью проходящие проверку на принадлежность к нескольким реальным людям. Исследователям удалось выдать эти лица почти за половину реальных личностей в наборе данных, обманув три ведущие системы распознавания.
По словам исследователей, их результаты демонстрируют, как «мастер-лица» способны выдавать себя за 40% реально существующих людей, не используя какой бы то ни было дополнительной информации об этих личностях. В работе упоминается предыдущее исследование, использовавшее сходный метод для создания поддельных отпечатков пальцев. Исследователи делают вывод о «чрезвычайно высокой уязвимости» существующих систем распознавания лиц.
«Мастер-лица» обычно получаются старше, и не содержат таких вещей, как очки или усы с бородами.
Исследователи проверяли свой метод на трёх системах распознавания лиц: Dlib, FaceNet и SphereFace. По словам ведущего автора работы Рона Шмелкина, данные системы были выбраны за свою способность распознавать «семантические особенности высокого уровня» — то есть не просто такие вещи, как цвет кожи или освещение.
Исследователи использовали генеративно-состязательную сеть StyleGAN для генерации случайных лиц, а потом при помощи эволюционного алгоритма и нейросети оптимизировали результат и предсказывали его успешность. Эволюционная стратегия одно за другим создаёт поколения из кандидатов с различными прогнозами успеха. Затем исследователи использовали этот алгоритм для обучения нейросети, которая должна была считать наилучших кандидатов наиболее многообещающими. Таким образом она училась предсказывать успешность той или иной фотографии, направляя алгоритм в сторону генерации всё более подходящих кандидатов с более высокой вероятностью пройти тест.
Шмелкин сказал, что они и дальше будут изучать возможности метода генерации «мастер-лиц» с тем, чтобы лучше защитить от подобных атак существующие системы распознавания.
Исследователи считают даже, что полученные ими лица можно анимировать при помощи технологии дипфейк, чтобы обойти системы, отличающие живого человека от фотографии.
Также в работе отмечено, что лица белых мужчин в возрасте более 60 лет, содержащиеся в базе данных Labeled Faces in the Wild (LFW), отличаются друг от друга гораздо меньше, чем более молодые люди — до такой степени, что для большей части группы пожилых людей можно использовать одно и то же лицо.
Исследователи упоминают, что из девяти лиц лишь два лица получились женскими, поскольку в базе LFW находится гораздо меньше женских лиц (22%).
Из результатов видно, насколько сильно системы распознавания лиц могут ошибаться. Использование этих систем правоохранительными органами продолжает приводить к ошибочным арестам даже после того, как было доказано, что эти системы довольно легко обмануть.
