Cómo evitar que la IA reconozca tu rostro en selfies

Un número creciente de herramientas ahora le permiten evitar que los sistemas de reconocimiento facial entrenen en sus fotos personales.

Subir fotos personales a Internet puede sentirse como dejarlo ir. ¿Quién más tendrá acceso a ellos, qué harán con ellos y qué algoritmos de aprendizaje automático ayudarán a entrenar?

La compañía Clearview ya ha proporcionado a las agencias de aplicación de la ley de EE.UU. Una herramienta de reconocimiento facial entrenada en fotos de millones de personas extraídas de la web pública. Pero eso probablemente fue solo el comienzo. Cualquiera con habilidades básicas de codificación ahora puede desarrollar un software de reconocimiento facial, lo que significa que hay más posibilidades que nunca de abusar de la tecnología en todo, desde el acoso sexual y la discriminación racial hasta la opresión política y la persecución religiosa.

Varios investigadores de IA están retrocediendo y desarrollando formas de asegurarse de que las IA no puedan aprender de los datos personales. Esta semana se presentarán dos de los últimos en ICLR, una conferencia líder en inteligencia artificial.

“No me gusta que la gente me quite cosas que se supone que no deben tener”, dice Emily Wenger de la Universidad de Chicago, quien desarrolló una de las primeras herramientas para hacer esto, llamada Fawkes, con sus colegas el verano pasado: "Supongo que muchos de nosotros tuvimos una idea similar al mismo tiempo".

El envenenamiento de datos no es nuevo. Acciones como eliminar los datos que las empresas tienen sobre usted o deliberar sobre la contaminación de conjuntos de datos con ejemplos falsos pueden dificultar que las empresas entrenen modelos precisos de aprendizaje automático. Pero estos esfuerzos generalmente requieren una acción colectiva, con la participación de cientos o miles de personas, para lograr un impacto. La diferencia con estas nuevas técnicas es que funcionan en las fotos de una sola persona.

"Esta tecnología puede ser utilizada como clave por una persona para bloquear sus datos", dice Sarah Erfani de la Universidad de Melbourne en Australia. "Es una nueva defensa de primera línea para proteger los derechos digitales de las personas en la era de la IA".

Ocultos a plena vista

La mayoría de las herramientas, incluido Fawkes, adoptan el mismo enfoque básico. Realizan pequeños cambios en una imagen que son difíciles de detectar con el ojo humano, pero arrojan una IA, lo que hace que identifique erróneamente a quién o qué ve en una foto. Esta técnica está muy cerca de una especie de ataque contradictorio, donde pequeñas alteraciones en los datos de entrada pueden obligar a los modelos de aprendizaje profundo a cometer grandes errores.

Déle a Fawkes un montón de selfies y agregará perturbaciones a nivel de píxel a las imágenes que impiden que los sistemas de reconocimiento facial de última generación identifiquen quién está en las fotos. A diferencia de las formas anteriores de hacer esto, como usar pintura facial que falsifica la IA, aparentemente deja las imágenes sin cambios para los humanos.

Wenger y sus colegas probaron su herramienta contra varios sistemas comerciales de reconocimiento facial ampliamente utilizados, incluidos AWS Rekognition de Amazon, Microsoft Azure y Face ++, desarrollados por la empresa china Megvii Technology. En un pequeño experimento con un conjunto de datos de 50 imágenes, Fawkes fue 100% efectivo contra todas ellas, evitando que los modelos entrenados en imágenes modificadas de personas reconozcan más tarde las imágenes de esas personas en imágenes nuevas. Las imágenes de entrenamiento manipuladas habían impedido que las herramientas formaran una representación precisa de los rostros de esas personas.

Fawkes ya se ha descargado casi medio millón de veces desde el sitio web del proyecto. Un usuario también ha creado una versión en línea, lo que hace que sea aún más fácil de usar para las personas (aunque Wenger no se responsabiliza por el uso del código por parte de terceros, advirtiendo: "No sabes lo que está sucediendo con tus datos mientras esa persona los está procesando ”). Todavía no hay una aplicación para el teléfono, pero nada impide que alguien cree una, dice Wenger.

Fawkes puede evitar que un nuevo sistema de reconocimiento facial lo reconozca, digamos, el próximo Clearview. Pero no saboteará los sistemas existentes que ya han sido entrenados con sus imágenes desprotegidas. Sin embargo, la tecnología está mejorando todo el tiempo. Wenger cree que una herramienta desarrollada por Valeriia Cherepanova y sus colegas de la Universidad de Maryland, uno de los equipos de ICLR esta semana, podría abordar este problema.

Llamada LowKey, la herramienta se expande en Fawkes al aplicar perturbaciones a las imágenes basadas en un tipo de ataque adverso más fuerte, que también engaña a los modelos comerciales previamente entrenados . Al igual que Fawkes, LowKey también está disponible en línea.

Erfani y sus colegas han agregado un giro aún mayor. Junto con Daniel Ma de la Universidad de Deakin e investigadores de la Universidad de Melbourne y la Universidad de Pekín en Beijing, Erfani ha desarrollado una forma de convertir las imágenes en " ejemplos imposibles de aprender ", lo que hace que una IA ignore por completo sus selfies. "Creo que es genial", dice Wenger. "Fawkes entrena a un modelo para que aprenda algo malo sobre usted, y esta herramienta entrena a un modelo para que no aprenda nada sobre usted".

Las imágenes mías extraídas de la web (arriba) se convierten en ejemplos que no se pueden aprender (abajo) que un sistema de reconocimiento facial ignorará. (Crédito a Sarah Erfani, Daniel Ma y colegas)

A diferencia de Fawkes y sus seguidores, los ejemplos que no se pueden aprender no se basan en ataques contradictorios. En lugar de introducir cambios en una imagen que obligan a una IA a cometer un error, el equipo de Ma agrega pequeños cambios que engañan a una IA para que la ignore durante el entrenamiento. Cuando se le presente la imagen más tarde, su evaluación de lo que contiene no será mejor que una suposición aleatoria.

Los ejemplos que no se pueden aprender pueden resultar más efectivos que los ataques adversarios, ya que no se pueden entrenar contra ellos. Cuantos más ejemplos de adversarios ve una IA, mejor los reconoce. Pero debido a que Erfani y sus colegas impiden que una IA entrene con imágenes en primer lugar, afirman que esto no sucederá con ejemplos que no se pueden aprender.

Sin embargo, Wenger está resignado a una batalla en curso. Su equipo notó recientemente que el servicio de reconocimiento facial de Microsoft Azure ya no estaba engañado por algunas de sus imágenes. “De repente, de alguna manera se volvió robusto para las imágenes encubiertas que habíamos generado”, dice ella. "No sabemos qué pasó".

Es posible que Microsoft haya cambiado su algoritmo, o que la IA simplemente haya visto tantas imágenes de personas que usaban Fawkes que aprendió a reconocerlas. De cualquier manera, el equipo de Wenger lanzó una actualización de su herramienta la semana pasada que funciona nuevamente contra Azure. “Esta es otra carrera armamentista del gato y el ratón”, dice.

Para Wenger, esta es la historia de Internet. "Empresas como Clearview están aprovechando lo que perciben como datos de libre acceso y los utilizan para hacer lo que quieran", afirma.

La regulación podría ayudar a largo plazo, pero eso no evitará que las empresas exploten las lagunas. “Siempre habrá una desconexión entre lo que es legalmente aceptable y lo que la gente realmente quiere”, dice. "Herramientas como Fawkes llenan ese vacío".

“Démosle a la gente algo de poder que antes no tenían”, dice.






Comentarios

Publicar un comentario

Entradas populares de este blog

Como crear una Matriz de Riesgos en tan solo 3 Pasos

Imagen
 La importancia de una buena gestión de los riesgos   Recordad que un riesgo no tiene por qué ser algo «malo», tendemos inconscientemente a asociar la palabra riesgo con problema, pero no es una asociación certera. Por definición, un riesgo es un evento incierto que en el caso de ocurrir tendrá un impacto. Los riesgos negativos se consideran amenazas. MATRIZ DE RIESGOS PASO A PASO Dentro de la Gestión de Riesgos hoy en día es casi imprescindible el uso de una herramienta que nos permita identificar, cuantificar y valorar los riesgos a los que tenemos que hacer frente, así como trazar un mapa que nos guíe en una ruta de éxito para nuestra empresa. Por esto a nivel global es muy aceptada la práctica de elaborar Matrices de Riesgos, que nos permitan la identificación y valoración de los mismos, considerando también el impacto que podrían generar la ocurrencia de tales o cuales variables. Pero aunque su elaboración precisa de conocimientos técnicos y de una metodología adecua
Leer más

CÓMO RESPONDER CUANDO UN TIRADOR ACTIVO ESTÁ EN LOS ALREDEDORES

Imagen
 Es un escenario de pesadilla: estás en un centro comercial, de compras con algunos amigos, o tal vez consiguiendo algunos alimentos de última hora para la cena. De repente, escuchas disparos. ¿Qué haces? Es una realidad que a muchos de nosotros nos cuesta aceptar, pero dada la frecuencia de tiroteos masivos en Estados Unidos, los expertos dicen que es algo que se debe considerar. De hecho, el FBI acuñó un mantra para ayudar a las personas a recordar qué hacer en caso de una situación con un tirador activo: «Corre. Escóndete. Pelea». (A los menores en edad escolar se les enseña una lección diferente ). En estos tiempos de tiradores activos, es tan importante como las instrucciones de «detenerse, caer y rodar» que los bomberos han enseñado durante décadas. «Te preparas para momentos difíciles y peligrosos con un qué hacer durante un tornado o incendio, así que debes estar igual de preparado para una situación de tirador activo», dijo a CNN el sheriff Michael Bouchard
Leer más