Исследователи обманули системы распознавания лиц фотографиями несуществующих людей

Учёные из Школы компьютерных наук имени Блаватника и Школы электротехники в Тель-Авиве, Израиль, смогли обмануть три крупнейшие системы распознавания лиц — Dlib, FaceNet и SphereFace. Для этого они с помощью нейросетей создали шаблоны лиц Master Face, в которых искусственный интеллект может увидеть сразу около 40 процентов всего населения Земли.

Рон Шмелькин и Лиор Вольф из Школы компьютерных наук имени Блаватника совместно с Томером Фридлендером из Школы электротехники при Тель-Авивском университете 1 августа опубликовали на портале arXiv результаты исследования, посвящённого уязвимости систем распознавания лиц.

Как сообщает издание Vice, учёные создали снимки несуществующих людей при помощи нейросети StyleGAN. Эта программа генерирует лица, строя их по контрольным точкам — тем самым, по которым системы распознавания лиц сканируют внешность людей.

Оптимизировав несколько полученных изображений и выбрав из них наиболее удачные, исследователи протестировали их на трёх крупнейших программах идентификации — Dlib, FaceNet и SphereFace.

Мы использовали эти системы, потому что они способны на высокий уровень анализа лиц, не останавливаясь на цвете кожи и тенях, — сказал автор исследования Рон Шмелькин.

Созданные через нейросеть изображения сработали как <<отмычки>>, заставив программы идентификации путаться и видеть в искусственных фото реальных людей. С помощью всего девяти таких лицевых шаблонов, или, как их назвали авторы исследования, Мастер-лиц (Master Face), удалось разблокировать порядка 20 процентов всей базы данных Labeled Faces in the Wild (LFW) Массачусетского университета. Эту базу с открытым кодом используют для разработки и тестирования систем распознавания лиц по всему миру.

По словам исследователей, опыт показывает, что Master Face успешно способен выдавать себя за приблизительно 40 процентов населения планеты без дополнительных данных о людях, за которых его будут признавать системы распознавания.

Наши результаты подтверждают, что аутентификация по лицу чрезвычайно уязвима. Мы заинтересованы в дальнейшем изучении возможности использования Мастер-лиц, сгенерированных нашим методом, чтобы защитить существующие системы распознавания от атак, — сказал Шмелькин.

Исследователи также предполагают, что если применить к Мастер-лицам технологии deepfake и <<оживить>> их, точность взлома может возрасти. Хотя, как ранее писал TKSAG, чтобы обмануть нынешние системы идентификации, достаточно просто напечатать правильный принт на футболке.

Применение систем распознавания лиц

С помощью Мастер-лиц можно обмануть практически любую систему идентификации, и это не только Face ID в телефоне. Жители разных стран найдут им свои применения.

В США системы распознавания лиц используются в основном только службами безопасности аэропортов, широкого распространения технология пока не получила. В некоторых городах, например в Сан-Франциско, подобные программы вообще планируют запретить, чтобы власти не злоупотребляли ими.

В Китае системы распознавания лиц используются максимально широко. Полиция имеет доступ к базам и может определить местонахождение практически любого человека — в Поднебесной на каждых 12 человек приходится одна камера видеонаблюдения.

По некоторым данным, в Москве тоже очень много камер, оснащённых системами распознавания лиц — около 100 тысяч. А в Европе, пусть и медленнее, но внедрение программ идентификации тоже развивается. Исключение — Бельгия и Люксембург, правительства этих стран выступают категорически против видеонаблюдения с распознаванием внешности.

Не нравились камеры слежения и блогеру. Как ранее писал TKSAG, он собрал дома очки, которые сделали его невидимым для систем слежения.