变脸
变脸
人脸识别技术在普及,颠覆它的办法也在增加
人工智能 (AI) 的发展推动了人脸识别系统四处开花,不断扩展。社交网络 Facebook 利用这种技术在用户上传的照片中标记人物。新型智能手机可以刷脸解锁。一些银行用这项技术验证交易。超市用它防范未成年人买酒。广告商评估消费者看到广告牌内容时的反应。美国国土安全部 (DHS) 估计,到 2023 年,97% 的出港航空乘客将通过人脸识别验证身份。人脸识别摄像头网络是中国在新疆建立的警察统治的一部分。英国一些警察部门已经在测试用这一技术开展大规模监视,在街头发现罪犯。
然而,对这项技术的强烈反对情绪也在发酵。包括旧金山和奥克兰在内的一些美国城市的政府已禁止警察等机构使用它。在英国,议员呼吁禁止警察测试该技术,但尚未成功。抗议者也可以 自己动手 解决问题,比如在摄像头面前遮掩面部,或者像最近香港的抗议活动那样,用激光笔照射并迷惑摄像头。与此同时,人数不多但不断壮大的隐私倡导者和学者正在寻找能直接颠覆底层技术的方法。
展现你最好的面貌
人脸识别依赖于机器学习,这个 AI 的子领域让计算机自己教自己执行程序员无法明确解释的任务。首先,用成千上万张人脸训练系统,在系统正确识别出人脸时予以奖励,未能识别时予以惩罚,以此教会系统区分包含和不包含人脸的图像。一旦明白了人脸是什么样的,系统就可以开始区分不同的面孔。具体方法因算法而异,但通常是用数学方法来表示面部的关键解剖特征点,例如鼻子相对于其他面部特征的位置,或两眼间距。
这类系统在实验室测试中可以实现极高的准确率。美国标准制定机构国家标准与技术研究院 (NIST) 的一项调查发现,2014 年至 2018 年间,人脸识别软件将一个已知人物的图像与数据库中此人的图像相匹配的能力从 96% 提高到了 99.8%。但因为机器是自学的,它们得到的视觉系统是定制的。换句话说,计算机视觉与人类视觉完全不同,这使得算法中存在大量漏洞。
例如,2010 年,美国研究员、艺术家亚当·哈维 (Adam Harvey) 在纽约大学做硕士学位论文时,创建了「计算机视觉迷惑」(CV Dazzle),就是用化妆来愚弄人脸识别系统。它会用鲜艳的色彩、高对比度、渐变阴影和不对称的造型来混淆算法对何为人脸的假设。对于人来说,化妆后的脸显而易见还是人脸。但计算机——或者至少是哈维的研究针对的算法——就被迷惑了。
看不出个究竟
夸张的妆容能糊弄机器,但很可能会更多地吸引其他人的关注。「超级脸」(HyperFace) 是哈维的最新研究项目。CV Dazzle 主要是改变脸部特征,而 HyperFace 是要将人脸隐藏在数十张假脸中。它用块状、半抽象和相对看似平常的图案来尽可能地吸引人脸识别软件的注意。原理就是在大量「假阳性」中隐藏真实面孔。现在市场上已经可以买到带线条和黑点、有点像嘴巴和双眼的图案的衣服了。
香港中文大学、印第安纳大学伯明顿分校 (Indiana University Bloomington) 和中国大型信息技术公司阿里巴巴的研究人员在 2018 年发表的一篇论文中提出了一个更精妙的想法。这里用到的是一个配有微型发光二极管的棒球帽,可将红外线光点投射到佩戴者的脸上。人脸识别系统中使用的许多摄像头对部分红外线光谱很敏感。而红外线对人眼没有影响,因此是理想的隐蔽手段。
在针对谷歌开发的人脸识别系统 FaceNet 的反识别测试中,研究人员发现适量的红外线照明可以有效地防止计算机发现它所看到的是人脸。更复杂的反识别手段也可能实现。研究人员搜索出在数学上与一位同事的面孔相似的人脸,对二极管进行精细控制,就能让 FaceNet 把这位同事认成另一个人,成功率达 70%。
训练一种算法来欺骗另一种算法被称为对抗性机器学习。这是一种富有成效的方法,所创造出来的图像在人眼看来并无意义,却能误导计算机视觉。在 2016 年发表的一篇论文中,匹兹堡的卡内基·梅隆大学和北卡罗来纳大学的研究人员把看似平常的抽象图案打印在纸上,然后粘贴在眼镜架上,就能经常让计算机视觉系统以为戴上镜架的一位男性 AI 研究人员是美国女演员米拉·乔沃维奇 (Milla Jovovich)。
在 7 月举行的一次计算机视觉会议上发表的一篇类似的论文中,比利时鲁汶天主教大学 (Catholic University of Leuven) 的一组研究人员骗过的是人体识别系统而非人脸识别系统。他们描述了一种由算法生成的 40 厘米见方的图案。在测试中,一个人只要拿着一块带有这种图案的纸板就足以令计算机监视系统对他视而不见——在人类保安看来当然还是清清楚楚。
研究人员自己也承认,所有这些方法都有局限性。特别是大多数方法只针对特定的识别算法,这限制了它们的实用性。哈维说,令人高兴的是,虽然人脸识别正在普及,但它还没有无处不在,也并非无懈可击。埃塞克斯大学 (University of Essex) 的研究人员在 7 月发表的一项研究中发现,尽管在伦敦的一次警方测试中标记了 42 次可能匹配,但只有 8 次是准确的。哈维表示,即使在中国,也只有一小部分监控摄像头能够搜集到清晰度可满足人脸识别要求的图像。没太多技术含量的对抗方法也有用处。「即使是像穿高领毛衣、戴太阳镜、看着手机 (这样就不会望向摄像头) 这些小细节,结合起来也有一定的保护作用。」
文章版权归原作者所有。
