Un numero crescente di strumenti ora consente di impedire ai sistemi di riconoscimento facciale di addestrarsi sulle foto personali dell’utente.
di Will Douglas Heaven
Di fronte alla prospettiva di caricare foto personali su Internet ci si chiede chi altri avrà accesso ad esse, cosa ne faranno e quali algoritmi di apprendimento automatico aiuteranno ad addestrare. L’azienda Clearview ha già fornito alle forze d’ordine statunitensi uno strumento di riconoscimento facciale addestrato sulle foto di milioni di persone prelevate dal web pubblico. Ma probabilmente si tratta solo dell’inizio.
Chiunque abbia abilità di programmazione di base può ora sviluppare software di riconoscimento facciale, il che significa che c’è più potenziale che mai di abusare della tecnologia in tutto, dalle molestie sessuali e la discriminazione razziale all’oppressione politica e alla persecuzione religiosa. Un certo numero di ricercatori di intelligenza artificiale stanno ora trovando delle soluzioni per far si che le AI non possano addestrarsi sui dati personali. Due di queste proposte sono state avanzate questa settimana all’ICLR, una delle principali conferenze sull’AI.
“Non mi piace chi prende le cose senza permesso”, dice Emily Wenger dell’Università di Chicago, che ha sviluppato Fawkes, uno dei primi strumenti per proteggere la privacy. La strategia di “avvelenamento dei dati” non è nuova. Azioni come l’eliminazione dei dati che le aziende hanno sull’utente o il rilascio di set di dati inquinanti con esempi falsi, possono rendere più difficile per le aziende addestrare modelli di apprendimento automatico accurati. Ma queste iniziative richiedono un’azione collettiva, con centinaia o migliaia di persone che partecipano, per avere un impatto.
La differenza, però, è che queste nuove tecniche funzionano anche sulle foto di una singola persona. “L’utente la può utilizzare per bloccare i propri dati”, afferma Daniel Ma della Deakin University in Australia. “È una nuova difesa in prima linea per proteggere i diritti digitali delle persone nell’era dell’AI”.
Nascondersi in bella vista
La maggior parte degli strumenti, incluso Fawkes, adottano lo stesso approccio di base. Apportano piccole modifiche a un’immagine che sono difficili da individuare a occhio umano, ma inducono un’intelligenza artificiale a identificare erroneamente chi o cosa vede in una foto. Questa tecnica è molto simile a una sorta di attacco antagonistico, in cui piccole modifiche ai dati di input possono costringere i modelli di deep learning a commettere grossi errori.
Se si inseriscono su Fawkes una serie di selfie, il software aggiungerà modificazioni a livello di pixel alle immagini che impediscono ai sistemi di riconoscimento facciale all’avanguardia di identificare chi è nelle foto. A differenza dei modi precedenti per farlo, come le tecniche di spoofing per evitare il riconoscimento facciale, lascia le immagini apparentemente invariate.
Wenger e i suoi colleghi hanno testato il loro strumento su diversi sistemi di riconoscimento facciale commerciali ampiamente utilizzati, tra cui AWS Rekognition di Amazon, Microsoft Azure e Face ++, sviluppati dall’azienda cinese Megvii Technology. In un limitato esperimento con un set di dati di 50 immagini, Fawkes è stato efficace al 100 per cento con tutte loro, impedendo ai modelli addestrati su immagini ottimizzate di persone di riconoscere successivamente quelle persone in nuove immagini. Le foto ritoccate avevano impedito agli strumenti di formarsi una rappresentazione accurata dei volti di quelle persone.
Fawkes è già stato scaricato quasi mezzo milione di volte dal sito web del progetto. Un utente ha anche creato una versione online, rendendola ancora più facile da usare per le persone, anche se Wenger invita alla prudenza. Non c’è ancora un’app per telefono, ma nulla impedisce a qualcuno di crearne una, dice Wenger.
Fawkes potrebbe impedire a un nuovo sistema di riconoscimento facciale di fare il suo lavoro, ma non interverrà sui sistemi esistenti che sono già stati addestrati sulle immagini dell’utente non protette. Tuttavia, la tecnologia sta migliorando continuamente. Wenger pensa che uno strumento sviluppato da Valeriia Cherepanova e dai suoi colleghi dell’Università del Maryland, uno dei team che hanno partecipato all’ICLR di questa settimana, potrebbe risolvere questo problema.
Chiamato LowKey, lo strumento introduce modificazioni alle immagini basate su un tipo più avanzato di attacchi contraddittori, in grado di ingannare anche i modelli commerciali pre-addestrati. Come Fawkes, anche LowKey è disponibile online. Il sistema di Ma e colleghi trasforma le immagini in quelli che chiamano esempi incomprensibili, per fa sì che l’AI ignori completamente le foto. “Penso che sia fantastico”, dice Wenger. “Fawkes addestra un modello per imparare qualcosa di sbagliato su di te e questo strumento addestra un modello per non far capire nulla al sistema di AI”.
A differenza di Fawkes e dei suoi seguaci, gli esempi incomprensibili non si basano su attacchi antagonistici. Invece di introdurre modifiche a un’immagine che costringono un’intelligenza artificiale a commettere un errore, il team di Ma aggiunge piccoli cambiamenti che inducono un’intelligenza artificiale a ignorarla durante l’allenamento. Quando viene presentata l’immagine in un secondo momento, la valutazione del contenuto non sarà migliore di un’ipotesi casuale.
Gli esempi incomprensibili possono rivelarsi più efficaci degli attacchi antagonistici perché non permettono difese. Quanti più esempi contraddittori vede un’AI, tanto meglio riesce a riconoscerli. Ma poiché Ma e i suoi colleghi impediscono a un’intelligenza artificiale di fare un training sulle immagini, l’AI non è in grado di migliorare.
Tuttavia, Wenger è rassegnato a una lunga battaglia. Il suo team ha recentemente notato che il servizio di riconoscimento facciale di Microsoft Azure non era più ingannato da alcune delle loro immagini. “Improvvisamente in qualche modo riconosce le immagini modificate che avevamo generato”, dice. “Non sappiamo cosa sia successo”.
Microsoft potrebbe aver cambiato il suo algoritmo, o l’AI potrebbe semplicemente aver visto così tante immagini di persone che usano Fawkes che ha imparato a riconoscerle. In ogni caso, la scorsa settimana il team di Wenger ha rilasciato un aggiornamento al loro strumento che funziona di nuovo contro Azure.
Per Wenger, questa è la storia di Internet. “Aziende come Clearview stanno capitalizzando ciò che percepiscono come dati liberamente disponibili e li utilizzano per fare quello che vogliono”, afferma. La regolamentazione potrebbe aiutare a lungo termine, ma non impedirà alle aziende di trovare delle scappatoie. “Ci sarà sempre una disconnessione tra ciò che è legalmente accettabile e ciò che le persone vogliono realmente”, conclude.
Immagine di : Ms Tech / Unsplash
