Как можно обмануть городскую систему распознавания лиц
В российских городах установлены сотни тысяч видеокамер, подключенных к единой системе распознавания лиц, которая может установить местонахождение человека в режиме реального времени. Уже давно известно, что эта система используется отнюдь не только для розыска преступников, но и, например, чтобы вычислять добропорядочных граждан, возвращающихся с оппозиционного митинга. В нашем сегодняшнем обзоре мы разберем, как люди разными способами пытаются обмануть эти алгоритмы – от ношения шпионских очков до специального макияжа и камуфляжа – и узнаем, насколько эти методы эффективны.
Как лицо становится формулой
Технологии автоматического распознавания лиц появились ещё в 60-х годах ХХ века, а в 2001 году стало возможным опознавать людей на видео в режиме реального времени. По-настоящему массово, однако, они стали применяться лишь в прошлом десятилетии. Системы распознавания лиц используются по всему миру в десятках разнообразных целей: от розыска преступников до идентификации покупателей и технологий учета рабочего времени.
Для распознавания лиц в режиме реального времени разработаны разные алгоритмы, но все они используют похожие методы работы. Сначала камера обнаруживает лицо человека. Лучше всего это удается, когда человек смотрит прямо в нее, но современные технологии позволяют выделить лицо в толпе, даже если взгляд направлен в другую сторону.
После того, как камера сфотографировала лицо, начинается его анализ. На лице выделяется 80 параметров или узловых точек: например, расстояние между глазами или форма скул. Для каждого из них находится числовое значение: так ваше лицо превращается в математическую формулу. Получившийся числовой код уникален для каждого человека точно также как отпечаток пальца. Осталось сравнить его с другими числовыми идентификаторами из базы данных: так, например, система находит разыскиваемого преступника.
Чтобы натренировать систему распознавания лиц, в нее потребуется загрузить огромное множество фотографий. База данных ФБР, например, представляет собой архив из более чем 641 миллиона фотографий (включая людей, не совершивших в своей жизни ни единого преступления). До недавнего времени технология распознавания лиц работала в Facebook, используя для обучения все фотографии, которые добровольно в нее загружают пользователи.
Технологии распознавания лиц многие считают опасными: они используются спецслужбами для слежки за людьми и угрожают неприкосновенности частной жизни любого пользователя сети.
Защита доступная: макияж и накладная растительность
В 2017 году директор по распространению технологий «Яндекса» Григорий Бакунов презентовал свой проект: сервис по созданию уникального макияжа, нанесение которого защитит человека от идентификации камерами. Бакунов вместе с коллегами написал алгоритм, который, получив на входе фотографию, создавал для человека образ по принципу «анти-сходства». Используя этот образ, визажист разрабатывал план макияжа и наносил его на лицо модели. «Эффективность системы, конечно, потрясала — можно было получить самые разные результаты: от “Вася чуть-чуть не похож на себя”, до “совсем не похож на Васю” и даже “вообще не Вася, а скорее Коля”», — писал Баженов.
Программист удостоверился, что даже с теми вычурными схемами макияжа, который они использовали, в теории возможно обманывать банки и уходить от слежки, и свернул проект из этических соображений.
Похожую схему продемонстрировали в 2020 году протестные художники из британской арт-группы Dazzle Club. В знак протеста использованию распознавания лиц полицией Великобритании они наносили макияж в стиле русского абстракционизма и устраивали в таком виде ежемесячные прогулки по Лондону.
Недостатки такого метода очевидны: человек с футуристической раскраской на лице на массовой демонстрации немедленно привлечет внимание полиции, и его задержат безо всяких технологий распознавания. К тому же с высокой вероятностью приведет популяризованное протестующими в Гонконге использование лазерных указок, чтобы ослепить объективы камер.
Как подтвердил на условиях анонимности «Медузе» эксперт по видеоаналитике специализированной московской фирмы, даже простая засветка лазером в яркий солнечный день собьет алгоритмы с толку. Однако использование лазерной указки на демонстрации может вызвать для протестующего ненужный риск.
В 2017 году российская компания «Видеомакс» опубликовала отчет, согласно которому использование накладных усов или бороды и ношение темных очков сами по себе не в состоянии обмануть систему распознавания лиц. Если надеть усы и бороду в сочетании с париком, вероятность распознавания снижается до 53-56%. Если замаскироваться под бездомного – надеть длинный парик, головной убор, наклеить пластырь на лицо и имитировать синяки, то она упадет до 51%.
По ироничному совпадению самым эффективным методом стало раскрашивание лица в цвета российского триколора под углом в 45 градусов, как часто делают футбольные фанаты в дни соревнований. Человека в такой «боевой раскраске» системе не удалось распознать вообще.
Вспышка коронавируса побудила многих производителей начать внедрять технологии распознавания лиц, частично закрытых масками. В настоящее время ношение медицинской маски не является эффективной защитой от алгоритмов распознавания.
Защита технологичная: очки, украшения, камуфляж
Помимо маскировки в духе старых шпионских фильмов существуют и современные, высокотехнологичные способы обмана технологий распознавания лиц. Дизайнер и инженер Скотт Урбан, например, разработал для этого специальные солнечные очки. Уже распроданные очки модели Reflectacles Ghost, появившиеся в 2016 году, отражали как видимый, так и инфракрасный свет, чтобы ослепить фотокамеры и видеокамеры.
В 2019 году Урбан представил новую модель очков — Phantoms. Они отражают обратно в источник только инфракрасный свет и созданы специально, чтобы противодействовать матричным системам распознавания лиц. В то же время на обычной фотографии со вспышкой или на снятых на камеру видеокадрах лицо человека не получится размытым. Phantoms только освещают пространство вокруг глаз, не позволяя алгоритмам собрать критически важные биометрические данные. При этом они практически неотличимы от обычных очков.
— Времена, когда конфиденциальность интересовались только преступники, давно прошли, — объясняет Урбан, зачем он вообще решил заниматься своими разработками. – Все идет к тому, что корпорации/правительства будут использовать ваше лицо, чтобы узнать все о вас и собрать все ваши данные в аккуратный небольшой профиль. Я, как и многие другие предпочел бы не фигурировать в их системе.
Очки Phantoms можно заказать по интернету, самая дешевая пара стоит 48 долларов.
Еще более футуристическую защиту от видеокамер разработал берлинский художник и технолог Адам Харви совместно с международной исследовательской лабораторией Hyphen-Labs, которая занимается проектами на стыке науки и искусства. Созданный ими камуфляж HyperFace покрыт особым узором со схематичными изображениями тысяч глаз и носов.
Мешанина из образов должна перегрузить алгоритмы распознавания так, что они не смогут отличить нарисованные изображения от настоящего человеческого лица. При этом каждый из паттернов, в соответствии с которыми располагается узор, нацелен на противодействие конкретному алгоритму распознавания лиц.
К несчастью, как пишет сам Харви на своем сайте, HyperFace не предназначен для продажи, а предложения такой одежды, встречающиеся в интернете, являются фальшивкой.
Дизайнер Ева Новак в 2017 году разработала украшение для лица, мешающее алгоритмам распознавания. Оно состоит из латунного прямоугольника, скрывающего часть, и двух латунных кругов, закрывающих скулы. У Новак тоже нет планов начинать массовое производство своего произведения, к которому она относится как к произведению концептуального искусства, однако примечательно, что Национальный музей Китая отказался экспонировать ее украшение по политическим мотивам.
Маска Гая Фокса
В 2020 году разработчики из Чикагского университета представили публике программу Fawkes, созданную для борьбы с машинными алгоритмами распознавания лиц в соцсетях. Название программы отсылает к британскому заговорщику Гаю Фоксу, чью маску с легкой руки писателя Алана Мура и авторов экранизации его комикса «V — Значит вендетта» носят миллионы протестующих по всему миру. В отличие от своего исторического прототипа Fawkes ничего не поджигает: она лишь добавляет к загруженному в нее изображению человеческого лица несколько пикселей.
Fawkes предназначена, чтобы противодействовать действиям таких корпораций как Clearview AI, которая выгрузила из интернета, включая социальные сети, три миллиарда фотографий и обучила с их помощью ИИ опознавать незнакомцев. Если перед публикацией в социальных сетях вы обработаете фотографию с помощью Fawkes, изменения останутся абсолютно незаметными для человеческого глаза. В то же время, они окажутся непреодолимыми для машинных алгоритмов: им покажется, что они нашли черты, характерные для изображенного человека, хотя это совершенно не так.
Разработчики Fawkes уверяют, что их программа продемонстрировала 100%-ую эффективность в борьбе с крупнейшим сервисом распознавания лиц Microsoft Azure Face, Amazon Rekognition и китайским Face++. Версии программы доступны для Windows, Mac и Linux.
Между Европой и Китаем
Наиболее передовых результатов в области технологий распознавания лиц предсказуемо достиг Китай, ведь перед правительством этой страны не стоит вопрос о защите персональных данных. Напротив, в Великобритании и некоторых городах США использовать автоматическое распознавание лиц запрещено даже полиции. В октябре Европарламент утвердил резолюцию о необходимости запрета распознавания лиц в общественных местах за исключением случаев борьбы с терроризмом и похищениями людей. Эта резолюция не является обязательной, но она демонстрирует готовность депутатов поддержать соответствующие законопроекты.
В ноябре текущего года функцию распознавания лиц отключили в Facebook в связи с «большой обеспокоенностью по поводу места технологии распознавания лиц в обществе».
России в этом отношении предсказуемо ближе китайский опыт, чем европейский. Мы уже рассказывали о том, как устроена московская система видеонаблюдения. В столице установлено более 100 тысяч видеокамер, работающих в связке с алгоритмом распознавания лиц от компании NtechLab. Видео с этих камер беспрепятственно продается на черном рынке, а полиция использует технологию NtechLab не только с целью розыска преступников, но и для задержания оппозиционеров.
Выводы, которые следует сделать из всего вышесказанного, неутешительны. Большинство рассмотренных нами видов камуфляжа либо ненадежно, либо слишком экстравагантно и выделяет человека в толпе. С другой стороны, как знать, возможно, нас ждет появление новой уличной моды, призванной обеспечить приватность ее носителей?
Евгений Ветров
Комменты