Нейросеть научили менять снимки так, чтобы обманывать системы распознавания лиц

Команда ученых из Университета Торонто разработала инструмент Privacy Filter («Фильтр приватности»), цель которого — помешать системам распознавания лиц успешно выполнять свою задачу. Подробное описание проекта опубликовано на сайте университета.

В основе программы лежит комбинация сразу двух нейросетей, которые состязаются друг с другом: одну из них ученые обучили распознавать лица на фотографиях, вторую — менять снимки так, чтобы обмануть первую. В результате система научилась мешать идентификации людей на фото почти в 100% случаев.

Такого эффекта удалось добиться благодаря изменению отдельных пикселей исходного изображения. Базовый принцип работы подобных программ состоит в том, что алгоритмы находят ключевые точки лица, например уголки глаз или губ, и вычисляют их расстояние друг от друга. Данные об этом помогают создать уникальный «отпечаток» лица человека. Чтобы обмануть программу, достаточно внести в ключевые точки лишь небольшие изменения.

В начале тестирования Privacy Filter система распознавания лиц идентифицировала людей на фото в 100% случаев. Сейчас, когда программа доработана, этот показатель упал на 0,5%.