Pixelierte Bilder passen nicht zur Gesichtserkennung von Cornell Tech A.I.

Drei Forscher von Cornell Tech in New York City haben entdeckt, dass unscharfe und pixelierte Bilder der künstlichen Intelligenz nicht gewachsen sind. Obwohl verdeckte Bilder für das menschliche Auge unverständlich bleiben und somit ihre sensiblen Inhalte zu schützen scheinen, können neuronale Netzwerke oft genau sagen, wer wer im Originalbild ist.

Mit anderen Worten, der Mensch ist nicht mehr der Lackmustest. Wir können nicht mehr nur fragen, ob etwas alle menschlichen Gehirne besiegt. A.Is - selbst einfache A.I.s - können den Menschen übertreffen, daher muss auch das Besiegen von ihnen immer Teil der Gleichung sein.

Die Studie der Cornell Tech-Forscher konzentrierte sich auf das Testen von Algorithmen zum Schutz der Privatsphäre, die bestimmte Informationen oder Bildteile verwischen oder pixelieren. Bisher vertrauten wir implizit auf datenschutzerhaltende Software oder Algorithmen und stellten fest, dass die von ihnen verdeckten Informationen sicher waren, weil nein Mensch konnte sagen, wer hinter dem digitalen Schleier steckte. Die Studie zeigt, dass diese Ära vorbei ist und die zugehörigen Anonymisierungsmethoden auch nicht lange dauern werden. Neuronale Netze, auf die diese Datenschutzmaßnahmen getroffen wurden, sind unbeeindruckt.

Richard McPherson ist ein Ph.D. Kandidat für Informatik an der University of Texas, Austin, der seinem Professor Vitaly Shmatikov an die Cornell Tech folgte. Zusammen mit Reza Shokri demonstrierten sie, dass einfache neuronale Netzwerke gängige Bildverschleierungstechniken aufdecken können. Die Technik ist relativ unkompliziert, was die Entdeckung besorgniserregender macht: Dies sind gängige, zugängliche Methoden, und sie konnten die Industrienormen für die Verschleierung besiegen.

Neuronale Netzwerke sind große, geschichtete Strukturen von Knoten oder künstliche Neuronen, die die Grundstruktur des Gehirns nachahmen. Sie basieren „auf einem vereinfachten Verständnis der Funktionsweise von Neuronen“, erzählt McPherson Inverse. "Geben Sie etwas Input, und das Neuron feuert oder feuert nicht."

Sie sind auch in der Lage, durch eine grobe Definition des Begriffs „zu lernen“. Wenn Sie einem wilden (völlig ungebildeten) Menschen etwas "Rotes" zeigen und ihm sagen, dass Sie alle "roten" Dinge aus einem Eimer heraussuchen sollen, werden sie zunächst Schwierigkeiten haben, sich aber im Laufe der Zeit verbessern. So auch bei neuronalen Netzen. Maschinelles Lernen bedeutet nur, einem Computer beizubringen, die "roten" Dinge aus einem virtuellen Eimer mit bunten Dingen herauszupicken.

So haben McPherson und sein Unternehmen ihr neuronales Netzwerk trainiert. „In unserem System erstellen wir ein Modell - eine Architektur neuronaler Netze, eine strukturierte Menge dieser künstlichen Neuronen - und dann geben wir ihnen eine Menge verschleierter Bilder“, sagt er. "Zum Beispiel könnten wir ihnen hundert verschiedene Bilder von Carol geben, die pixeliert wurden, und dann hundert verschiedene Bilder von Bob, die pixeliert wurden."

Die Forscher beschriften dann diese pixelierten Bilder und teilen so dem Modell mit, wer sich in jedem Bild befindet. Nach der Verarbeitung dieses Datensatzes weiß das Netzwerk funktional, wie Pixelated Bob und Pixelated Carol aussehen. "Wir können ihm dann ein anderes pixeliertes Bild von Bob oder Carol geben, ohne das Etikett", erklärt McPherson, "und er kann vermuten und sagen:" Ich denke, das ist Bob mit einer Genauigkeit von 95 Prozent."

Das Modell rekonstruiert das verschleierte Bild nicht, aber die Tatsache, dass es in der Lage ist, die gebräuchlichsten und ehemals zuverlässigsten Anonymisierungsmethoden zu besiegen, ist an und für sich beunruhigend. "Sie können herausfinden, was verschleiert wird, aber sie wissen nicht, wie es ursprünglich aussah", sagt McPherson.

Die neuronalen Netze sind jedoch immer noch in der Lage, besser als Menschen zu sein. Wenn die Bilder mit einer Industriestandard-Technik am stärksten verschleiert wurden, war das System immer noch zu über 50 Prozent genau. Bei etwas weniger verschleierten Bildern erwies sich das System mit einer Genauigkeit von etwa 70 Prozent als bemerkenswert. Die Norm von YouTube für das Verwischen von Gesichtern ist völlig fehlgeschlagen. selbst die unschärfsten Bilder wurden vom neuronalen Netzwerk getroffen, was sich zu 96 Prozent als richtig erwies.

Andere bisher nicht angegriffene Daten-, Text- und Bild-Anonymisierungstechniken sind ebenfalls unzuverlässig. "Es gab eine Arbeit über den Sommer, die sich mit der Anonymisierung von Text unter Verwendung von Pixelation und Unschärfe befasste und zeigte, dass sie auch gebrochen werden konnten", sagt McPherson. Andere einst vertrauenswürdige Methoden sind möglicherweise ebenfalls auf dem Weg zur Tür. Obwohl er nicht genau weiß, wie und wo sich Sprachverschleierungstechniken wie anonyme Fernsehinterviews verbreiten, wäre er "nicht überrascht", wenn neuronale Netze die Anonymisierung durchbrechen könnten.

McPhersons Entdeckung beweist, dass "die Methoden zum Schutz der Privatsphäre, die wir in der Vergangenheit hatten, vor allem mit modernen maschinellen Lerntechniken nicht wirklich zum Schnupfen geeignet sind." Mit anderen Worten, wir verschlüsseln uns in irrelevante, trainierende Maschinen übertrumpfe uns in allen Bereichen.

"Mit zunehmender Macht des maschinellen Lernens wird sich dieser Kompromiss zugunsten der Gegner verschieben", schrieb der Forscher.