LinuxParty

Subir fotos personales a internet puede parecer divertido. Pero... ¿Y si esas fotos ayudan a entrenar algún algoritmo de aprendizaje automático?

Una herramienta de reconocimiento facial entrenada con las fotos de millones de personas extraídas de la web. Cualquier persona con habilidades básicas de programación puede desarrollar un software de reconocimiento facial [ 1 ], [ 2 ], [ 3 ] lo que significa que hay más posibilidades que nunca de abusar de esta tecnología para casi todo, desde el acoso sexual, discriminación racial hasta la opresión religiosa y la persecución política.

Varios investigadores de la inteligencia artificial (IA) están dando un paso atrás y desarrollando formas de asegurarse de que las IA no puedan aprender de los datos personales. Hace unos días se presentaron dos de las últimas ideas relacionadas con esto en ICLR, la conferencia líder en inteligencia artificial.

Pero estos esfuerzos generalmente requieren una acción colectiva, con la participación de cientos o miles de personas, para conseguir un impacto. La diferencia con estas nuevas técnicas es que funcionan con las fotos de una sola persona.

“Una persona puede utilizar esta tecnología como una clave para bloquear sus datos”, explica el investigador de la Universidad Deakin en Australia Daniel Ma.

Ocultos a plena vista

Si a Fawkes se le dan un montón de selfis, ésta añadirá alteraciones en forma de píxeles a las imágenes que impiden que los sistemas de reconocimiento facial de última generación identifiquen quién está en las fotos. A diferencia de formas anteriores de realizar esto, como modificar el color facial para confundir a la IA, Fawkes deja las imágenes aparentemente sin cambios para los humanos.

Wenger y sus colegas probaron su herramienta contra varios sistemas comerciales de reconocimiento facial ampliamente utilizados, incluidos AWS Rekognition de Amazon, Microsoft Azure y Face ++, desarrollado por la empresa china Megvii Technology. En un pequeño experimento con un conjunto de datos de 50 imágenes, Fawkes fue 100 % efectivo contra todos ellos y evitó que los modelos entrenados con imágenes modificadas de personas reconocieran más tarde los rostros de esas personas en otras imágenes nuevas.

Fawkes puede evitar que un nuevo sistema de reconocimiento facial nos reconozca, como, por ejemplo, el próximo Clearview, pero no saboteará los sistemas existentes que ya han sido entrenados con nuestras imágenes desprotegidas.

La herramienta LowKey amplía el alcance de Fawkes, porque aplica alteraciones a las imágenes basadas en un tipo de ataque antagónico más fuerte, que también engaña a los modelos comerciales previamente entrenados.

Su enfoque, que convierte las imágenes en lo que ellos llaman ejemplos que no se pueden aprender, hace que una IA ignore por completo esos selfis.

Pero como Ma y sus colegas impiden que una IA se entrene con esas imágenes para empezar, afirman que esto no sucederá con los ejemplos que no se pueden aprender.

Su equipo ha notado recientemente que el servicio de reconocimiento facial de Microsoft Azure ya no se dejaba engañar por algunas de sus imágenes. Wenger asegura: “De repente, de alguna forma se volvió resistente a las imágenes modificadas que habíamos generado.

Es posible que Microsoft haya cambiado su algoritmo, o que la IA simplemente haya visto tantas imágenes de personas que usaban Fawkes que aprendió a reconocerlas.