對抗臉部辨識的新方法:隱藏身分、隨機換臉

82

轉載從: Tech News 科技新報

對抗臉部辨識的新方法:隱藏身分、隨機換臉

臉部辨識技術已進入大規模應用,個資等隱私問題也越來越受關注,針對隱私保護、躲避和攻擊臉部辨識系統的研究也陸續出現。

其中有篡改輸入臉部辨識系統的影像,讓 AI 無法辨識圖中人臉的,如多倫多大學的《Adversarial Attacks on Face Detectors using Neural Net based Constrained Optimization》。

對抗臉部辨識的新方法:隱藏身分、隨機換臉

也有 CMU 設計的特殊眼鏡,戴上後即便經過監控鏡頭,仍無法辨識影像有沒有人臉,或辨識成他人;且這種掩飾不算誇張,不容易引起別人懷疑(論文《Accessorize to a Crime: Real and Stealthy Attacks on State-of-the-Art Face Recognition》)。

對抗臉部辨識的新方法:隱藏身分、隨機換臉

隱藏身分的「換臉」

近日又出現一篇新論文,來自挪威科技大學《DeepPrivacy: A Generative Adversarial Network for Face Anonymization》,從更新、更有挑戰性的角度欺騙臉部辨識系統:不改變原來資料分散的前提下,將人臉匿名化,通俗地說就是模型匯出還是一張臉,姿態和背景也和原圖相同,但完全無法辨識原來的臉的身分,就是「換了一張臉」。

對抗臉部辨識的新方法:隱藏身分、隨機換臉

作者提出的模型 DeepPrivacy 是條件生成式對抗網路(conditional GAN),建構程式能以原有背景及稀疏的動作標記生成逼真的匿名(其他身分)人臉。建構程式的架構是 U-net,用逐步擴大影像的方式最終生成 128×128 影像。

為了避免洩露個人資訊給模型,按照作者的設計,模型輸入就直接是經過隨機雜訊遮擋的人臉,模型完全觀察不到任何原有臉部資訊。不過,為了保證生成的品質及動作一致,作者仍需要兩組簡單的影像標記結果:圈出臉部位置的邊框,以及(與 Mask R-CNN 相同)標出耳朵、眼睛、鼻子、肩膀共 7 個關鍵點的稀疏姿態估計值。

對抗臉部辨識的新方法:隱藏身分、隨機換臉

根據作者的測試,經過模型匿名化的人臉仍保持接近原圖的臉部可辨識性,普通的臉部辨識模型對匿名化後的影像,辨識出人臉的平均準確率只相對下降 0.7%,而人臉含有的身分資訊自然 100% 不重覆。

對抗臉部辨識的新方法:隱藏身分、隨機換臉

▲ 不同臉部匿名方式對比,左起原圖、DeepPrivacy 模型遮擋後輸入、馬賽克、高斯模糊、DeepPrivacy 模型匯出。

作者也做了一項具前瞻性的工作,那就是整理發表新的多姿態臉部資料集 Flickr Diverse Faces。資料集共 147 萬張人臉,並按照這模型輸入所需,標出了含臉部位置的邊框及 7 個關鍵點。資料集的獨特之處在於多樣性,涵蓋許多不同的臉部姿態、部分遮擋、複雜背景、不同的人。

對抗臉部辨識的新方法:隱藏身分、隨機換臉

▲ 一些 Flickr Diverse Faces 資料集的人臉樣本。

相關研究比較

對抗臉部辨識的新方法:隱藏身分、隨機換臉

▲ 另外的臉部匿名化結果──左圖大家本來可能很熟悉,現在就難認出來了。

論文模型的建構程式設計參考《Progressive Growing of GANs for Improved Quality, Stability, and Variation》論文,從低解析度的影像開始,逐步提高解析度、增加細節,最終可同時兼顧影像內容高度協調、高穩定性、高多樣性。這種方法是 GANs 首次生成 1,024×1,024 大小的高畫質影像。作者還一併討論改進 GANs 訓練過程的技巧。

可能有人已想到,DeepPrivacy 所做的「生成匿名逼真人臉」工作,其實就和影像補全(Image Inpainting)高度類似,都是讓模型為影像指定區域填補內容。不過影像補全時要補全的不僅是人臉,還包含各種日常物體和場景。也有影像補全研究人員嘗試補全人臉的效果,他們在畫質解晰度、資料豐富、姿態單一的 Celeb-A 資料集嘗試,結果模型無法生成逼真、身分不同且隨機的人臉。

另外,輝達《A Style-Based Generator Architecture for Generative Adversarial Networks》是 CVPR 2019 最佳論文之一,也是目前為止生成高清晰度、高多樣性人臉效果最好的方法。毋庸置疑,這種方法生成的人臉比 DeepPrivacy 更逼真,且可生成隨機新身分,不過就沒辦法控制同樣的姿態和背景了。

作者認為大企業可能透過這種方法躲避歐盟《通用資料保護條例》(GDPR)的約束。GDPR 要求,使用個人的隱私資料時必須定期徵得當事人同意;但是當無法根據資料辨識定位某個人時,企業無需同意就可使用這些資料。這種臉部匿名化方法就能成為「無法辨識個人,進而繞過 GDPR 限制」的幫手。

不過,在高度遮擋、不常見的角度、複雜背景下,模型還是會出現一些錯誤的生成結果(扭曲的臉看起來有些可怕)。作者也透過對照試驗,說明更大的模型、7 個動作關鍵點的標記都有助於生成更高品質的影像。

Reddit 及 Twitter 的討論串,有人提出,僅變更臉部不足以完全隱藏身分,有的人(如歐巴馬)僅憑髮際線就有機會被認出來,加上穿著、場景、身邊的人,知名人物被認出來的可能性大大增加;也有人提到,變成隨機身分,還不如都用 DeepFake 把所有的臉換成同一張虛擬人臉,同樣可達到無法通過臉部辨識確定身分的效果;網友還吐槽為什麼要取 DeepPrivacy 這麼俗的名字。

(本文由 雷鋒網 授權轉載;首圖來源:Github