Как не дать нейросетям распознать своё лицо
Исследователи по всему миру пытаются предотвратить «цифровое рабство». Системы распознавания лиц — это реальная угроза или мнимая опасность?
Абрикос Абрикосовый для Skillbox Media
Системы распознавания лиц позволяют идентифицировать личность человека по записи с камеры видеонаблюдения или селфи в инстаграме**. Для этого используются нейросети, которые считывают и анализируют характерные черты человеческого лица, а затем сверяют их с базой. Такие технологии иногда дают сбой и вредят людям: например, системы, применяемые в криминалистике, чаще указывают на темнокожих как на потенциальных преступников.
Технологии распознавания лиц активно используются в том числе и в России. Например, в 2020 году они применялись для поиска нарушителей режима самоизоляции в Москве. В июне 2021 года стало известно, что российские власти собираются объединить камеры по всей стране в единый контур видеонаблюдения. На разработку платформы и установку «умных» камер планируется потратить 250 млрд рублей за пять лет.
Руководитель «Роскомсвободы» Артём Козлюк считает, что запуск такой масштабной системы может грозить россиянам потерей персональных данных. По его словам, из-за ошибок распознавания граждане рискуют попасть под неправомерные действия правоохранительных органов.
Где сегодня используются системы распознавания лиц, чем они полезны и опасны и как учёные пытаются бороться с технологией — в материале Skillbox Media.
- Технология распознавания лиц уже везде. Где и как вас точно узнают
- Далеко не все считают системы распознавания чем-то плохим. Говорят, в них много пользы
- Некоторые правозащитники и учёные убеждены, что технология может навредить. Чем она опасна
- Как обмануть системы распознавания лиц
- Кто победит: системы распознавания лиц или инструменты против них
Где и как применяют системы распознавания лиц
Для идентификации человека используют нейросети, умеющие считывать и анализировать черты лица, а затем сверять их с базой. Самая известная технология распознавания лиц — Face ID на iPhone.
Подобные системы используют:
Производители смартфонов — для защиты персональных данных и их недоступности в случае кражи.
Полиция и спецслужбы — для поиска преступников, доказывания преступлений и их предотвращения.
Аэропорты и погранслужбы — для автоматизированного контроля электронных паспортов.
Больницы и дома престарелых — для отслеживания и оценки состояния пациентов.
Общепиты, банки и ретейл — для идентификации, предотвращения мошенничества, анализа поведения покупателей; для открытия счёта и получения кредита.
Школы и университеты — для контроля за учениками и студентами во время экзаменов.
Маркетинговые и рекламные компании — для повышения качества обслуживания клиентов и запуска персонализированной рекламы.
Автомобильные компании — для замены ключей от машины.
В 2020 году объём мирового рынка распознавания лиц оценивался в 3,86 млрд долларов и, как ожидает исследовательская компания Grand View Research, будет увеличиваться со среднегодовым темпом роста 15,4% с 2021 по 2028 год. Согласно отчёту Global Market Insights, к 2026 году объём рынка должен превысить 12 млрд долларов.
Самые масштабные разработки в области распознавания лиц принадлежат Google, Apple, Facebook*, Amazon и Microsoft. Например, Facebook* с 2010 года начал автоматически отмечать людей на фотографиях с помощью встроенного инструмента, а Apple внедрила распознавание лиц в iPhone.
Технология активно используется и за пределами IT-сектора. Так, авиакомпания British Airways с 2017 года применяет систему распознавания лиц, чтобы ускорить процедуру посадки на рейс, идентифицировать пассажиров, вылетающих рейсами из США.
В России есть четыре крупных игрока в этой сфере: NtechLab, VisionLabs, Sensemaking Lab и Группа ЦРТ. NtechLab известна как разработчик приложения FindFace, которое использовали для поиска людей во «ВКонтакте» по фото. Позже компания выступила подрядчиком для внедрения камер с распознаванием лиц в Москве и других регионах России.
VisionLabs также разрабатывала системы для столичных камер и участвовала в других городских проектах. Сейчас компания входит в экосистему «Сбера» и внедряет биометрию в банковские сервисы.
Sensemaking Lab создаёт продукты для городских и федеральных служб, сотрудничает с российскими и зарубежными компаниями. Группа ЦРТ первой в России внедрила систему распознавания лиц в спорте, её решения используются более чем на десяти стадионах и ледовых аренах.
Какие проблемы связаны с технологией и почему распознавание лиц — это всё равно хорошо
На сегодня с современными системами распознавания лиц связаны две основные проблемы, которые не сильно зависят от алгоритмов и носят общий характер, рассказал Skillbox Media директор департамента решений на базе ИИ компании Oberon Владимир Борисов.
Во-первых, по мнению эксперта, есть недоверие людей, страх тотальной цифровизации и того, что в современном мире у человека не останется личного пространства. В результате вокруг систем распознавания лиц образуется негативный информационный фон. «Но это не относится к корпоративному сегменту, где на протяжении многих лет формировалось мнение, что ИИ и системы распознавания приносят много пользы и работают на благо как конкретного сотрудника, так и предприятия в целом», — утверждает Владимир Борисов.
Во-вторых, у систем распознаваний лиц есть проблемы с инфраструктурой, на которой должна работать биометрия. Если базу создавать с нуля, то сложностей не возникает. Можно довольно быстро подобрать и смонтировать оборудование. Но если на предприятии уже есть видеокамеры или системы видеонаблюдения, то зачастую приходится формировать дополнительные рекомендации по верному расположению камер, изменению фокусного расстояния и светочувствительности.
Владимир Борисов убеждён, что системы распознавания лиц не могут навредить законопослушным людям. Напротив, они помогают в повседневной жизни. «Например, это различные удобные сервисы оплаты или прохода через турникеты по лицевой биометрии, биометрические карты лояльности, позволяющие продавцу-консультанту в торговом зале быстро сориентироваться и предложить покупателю необходимый товар», — объясняет он.
Системы распознавания лиц активно используются также для борьбы с преступностью. По словам Борисова, ежесекундно в России «миллионы камер в аэропортах, на ж/д вокзалах или транспорте сопоставляют пассажиропоток с базой террористов». В случае выявления совпадений камеры выдают необходимые оповещения на пульт охраны.
Вопрос системы распознавания лиц чаще обсуждается не на уровне технологического прогресса, а на уровне этических нормативов, с сожалением отметил в разговоре со Skillbox Media директор по продуктам облачного сервиса для видеонаблюдения Ivideon Заур Абуталимов. Обсуждение проблемы инициировал ЕС, в ряде штатов США запрещено использование технологии для коммерческой деятельности, а в Сингапуре, например, уже действуют цифровые паспорта.
«У системы распознавания лиц нет цели слежки за каждым жителем города и получения его персональных данных. Камера хоть и умеет выцеплять лицо из потока, но это осуществляется для локальных целей, например, бизнеса: цифровая проходная система в офис или маркетинговый анализ поведения покупателя в магазине. Контролировать каждого жителя мегаполиса — это дорого и бесцельно», — утверждает Заур Абуталимов.
Чем могут быть опасны современные системы распознавания лиц
Тем не менее технология не всегда работает так, как утверждают её сторонники. Например, в 2020 году система распознавания лиц в московском метро ошибочно приняла горожанина Сергея Межуева за преступника в розыске. В итоге его задержали и не сняли подозрения, пока не нашли реального правонарушителя.
Другой проблемой систем распознавания называют утечки. По данным СМИ, на чёрном рынке продают доступ к московским камерам видеонаблюдения — в том числе подключённым к системе распознавания лиц. Так, волонтёр «Роскомсвободы» смогла заказать на чёрном рынке слежку за собой в Москве с использованием системы распознавания лиц. За 15 тысяч рублей она получила информацию о своих передвижениях и видеозаписи с собой.
Если меры безопасности, применяемые в технологии распознавания лиц, недостаточно строги, хакеры могут подделывать чужую внешность для незаконной деятельности, рассказал Skillbox Media директор по продуктам компании Ivideon Заур Абуталимов. Например, была обнаружена утечка данных в приложении BioStar 2, использующем технологию распознавания лиц и отпечатков пальцев для идентификации пользователей. Исследователи конфиденциальности в интернете Ноам Ротем и Ран Локар в экспериментальных целях смогли получить доступ к более чем 1 млн записей отпечатков пальцев, а также к информации о распознавании лиц.
«Однако число случаев мошенничества с идентификационными данными уменьшается благодаря всё более совершенным мерам безопасности и уровню развития технологии. Сегодня обмануть систему распознавания лиц стало очень сложно», — считает Заур Абуталимов.
Сегодня для обучения нейросетей, применяемых в системах распознавания лиц, используют базы данных, которые содержат в основном фото людей титульной нации. Поэтому системы плохо распознают азиатов, латиноамериканцев и афроамериканцев. А системы, применяемые в криминалистике, чаще указывают на чернокожих людей как на потенциальных преступников. Например, в 2020 году в Детройте система распознавания лиц приняла чернокожего мужчину за преступника. Афроамериканец был арестован, потому что алгоритм посчитал его снимок идентичным фотографии грабителя — тоже афроамериканца.
Наиболее широко распознавание лиц применяют в Китае. Там технология используется не только для поимки преступников, но и для поддержки социального рейтинга. В рамках этой системы каждый житель страны получает баллы за общественно полезную деятельность, отсутствие нарушений и своевременную уплату налогов. За проступки баллы снимаются — китайцам с плохим рейтингом могут отказать, например, в выдаче кредита или вылете из страны.
Системы распознавания лиц в современном обществе постепенно становятся инструментом контроля, заявил Skillbox Media руководитель облачного хостинг-провайдера HostFly.by Александр Хмыль. По мнению эксперта, вместо того чтобы создавать программные продукты для быстрой оплаты или совершенствования рекламных технологий, разработчики сфокусировались на государственных проектах и применении системы распознавания лиц в сфере охраны правопорядка. Но это легко объясняется тем, что разработка подобных решений — достаточно дорогая.
«Позволить себе вкладывать деньги в системы, которые реально могут работать с большим массивом данных изображений, может только государство или крупные финансовые компании. На примере банков, которые попытались внедрить систему идентификации клиентов по лицу, можно сказать, что такие инвестиции вряд ли окупятся в ближайшие годы», — рассказал Александр Хмыль. Он уточнил, что доступ к базе данных изображений граждан есть только на государственном уровне, а другим компаниям нужно самостоятельно формировать эту базу, хранить её и защищать от утечек.
В 2020 году с призывом ввести мораторий на применение технологии распознавания лиц на всей территории США выступила Ассоциация вычислительной техники. Причина кроется в задокументированной этнической, расовой и гендерной предвзятости, которую проявляют системы, использующие алгоритмы распознавания.
По мнению Александра Хмыля, чтобы технология распознавания лиц стала массовой, она должна очень хорошо себя зарекомендовать, работать идеально, без ошибок и историй вроде «машину обманули распечаткой портрета пользователя». Сейчас технологии визуальной идентификации далеки от совершенства, хотя определённый прогресс в этом направлении есть, резюмирует эксперт.
Как обмануть системы распознавания лиц
Чтобы не стать жертвой некорректной работы систем распознавания, некоторые люди стараются найти способы для их обмана.
В 2017 году директор по распространению технологий «Яндекса» Григорий Бакунов разработал специальную систему макияжа, якобы помогающего обмануть нейросети. Для этого он использовал алгоритм, подбирающий образ по принципу антисходства. Примерно в том же ключе действовали участники протестов в Лондоне в 2020 году: они пытались обмануть системы распознавания лиц с помощью цветных патчей на лице.
Исследователи также занимаются разработками, которые не позволяют ИИ учиться на личных данных, говорится в статье MIT Technology Review. Один из первых представленных инструментов — это программа Fawkes, которую разработала Эмили Венгер из Чикагского университета. «Мне не нравится, когда люди берут у меня то, что не должно им принадлежать», — объясняет она свою мотивацию.
Большинство подобных инструментов используют один и тот же алгоритм: они вносят в изображения небольшие изменения, которые незаметны для человеческого глаза, и заставляют ИИ неправильно определять лица на фотографиях. Этот метод очень близок к состязательной атаке, когда небольшие изменения данных могут привести модели глубокого обучения к ошибкам.
Благодаря такому подходу современные системы распознавания лиц перестанут работать. В отличие от предыдущих попыток запутать ИИ (например, нанесение краски на лица), новая технология оставляет изображения неизменными для зрительного восприятия человека. Программа Fawkes доступна на сайте Чикагского университета для свободного скачивания и использования. С тех пор её загрузили свыше 500 тысяч раз.
Автор Fawkes Эмили Венгер и её коллеги протестировали свой инструмент на известных коммерческих системах распознавания лиц — Amazon AWS Rekognition, Microsoft Azure и Face++. В небольшом эксперименте с набором данных из 50 фотографий алгоритм был эффективен на 100 %. Позднее Fawkes не позволяла моделям, обученным на изменённых изображениях людей, распознавать эти же лица на свежих снимках. То есть небольшие изменения, внесённые в фотографии, помешали инструментам сформировать точное представление о лицах.
Fawkes может помешать новой системе распознавания определять людей по фото. Но у программы не получится противодействовать существующим системам, которые уже были обучены на незащищённых изображениях. Впрочем, технология постоянно совершенствуется.
Создатель Fawkes считает, что инструмент LowKey, разработанный Валерией Черепановой и ее коллегами из Университета Мэриленда, может решить эту проблему. LowKey расширяет возможности Fawkes: он противодействует системам, основанным на более сильном виде состязательной атаки, а также обманывает предварительно обученные коммерческие модели. Как и Fawkes, LowKey доступен как веб-сервис.
Большинство подобных инструментов, включая Fawkes, используют один и тот же базовый подход: в изображение вносятся микроизменения, которые трудно заметить человеческим глазом, но они нарушают работу ИИ. В частности, если дать Fawkes на ввод серию фотографий, он добавит к ним искажения на уровне пикселей, которые не позволят современным системам распознавания лиц определить, кто изображён на снимках.
Намеренное «загрязнение» данных может затруднить для компаний тренировку моделей машинного обучения, предположил директор по продуктам компании Ivideon Заур Абуталимов в разговоре со Skillbox Media.
«Однако отличием этих новых методов является то, что они работают с фотографиями одного человека. Такие инструменты, как Fawkes, могут помешать новой системе распознавания лиц распознать именно вас, но они не помешают существующим системам, которые уже обучались на ваших „незащищённых“ изображениях», — подчеркнул Заур Абуталимов.
Преподаватель Deep Learning School, автор блога об искусственном интеллекте и нейронных сетях Татьяна Гайнцева рассказала Skillbox Media, что инструменты Fawkes и LowKey могут быть перспективными, но не стоит ожидать от них абсолютной эффективности.
«Каждая нейросеть-распознаватель индивидуальна, а потому изменение фото может сработать для одного алгоритма и не сработать для другого. При этом если внести в снимок небольшие коррективы, то велика вероятность, что оно распознается. Если же изменить фото сильно, то это станет заметно даже человеческому глазу», — говорит Гайнцева.
Кто победит: системы распознавания лиц или инструменты против них
Недавно служба распознавания лиц Microsoft Azure научилась обходить Fawkes и стала устойчивой к изменённым изображениям. Возможно, Microsoft переработала свой алгоритм или ИИ научился распознавать изображения, изменённые Fawkes. В любом случае, команда Эмили Венгер выпустила обновление для своего инструмента, и он снова работает против Azure.
Татьяна Гайнцева в разговоре со Skillbox Media сравнила эту ситуацию с гонкой вооружений.
«Сейчас придумали атаку, как изменить картинку, чтобы она не идентифицировалась сетями для распознавания лиц. Но разработчики нейросетей для распознавания тоже не дремлют. Они думают, как обучить сети таким образом, чтобы они распознавали и изменённые картинки», — отмечает она. В любом случае, по словам эксперта, подобные инструменты сработают только для фото в интернете, а в реальной жизни скрыться от камер не помогут.
Технология распознавания лиц в ближайшие два-три года значительно продвинется и станет доступной для массового внедрения. А через 15–20 лет паспорта в России могут быть заменены биометрией, считает основатель и гендиректор компании VisionLabs Александр Ханин.
Директор по международному развитию VisionLabs Антон Назаркин в разговоре со Skillbox Media отметил, что основная проблема систем распознавания лиц — отсутствие мировых стандартов в их использовании, особенно в части защиты данных и конфиденциальности. В долгосрочной перспективе регулирование сферы сможет стабилизировать ситуацию с системами распознавания лиц.
«Обеспечить большую безопасность может помочь законодательное регулирование — например, организация процедуры получения согласия на обработку таких данных», — рассказал Skillbox Media Заур Абуталимов, директор по продуктам компании Ivideon. По мнению эксперта, для защиты прав граждан властям необходимо создать надлежащую нормативно-правовую базу.