Con l’aumento delle preoccupazioni in materia di privacy (basti solo pensare a ciò che sta accadendo con l’introduzione della GDPR) e il miglioramento delle tecnologie di rilevamento/riconoscimento dei volti, sta emergendo una nuova competizione tra chi, come Google o Facebook, tende a voler riconoscere tutti in automatico e chi, al contrario, cerca di impedire che ciò accada, al fine di garantire la privacy degli utenti. Se fino ad oggi erano stati i sistemi di riconoscimento facciale i vincitori quasi assoluti di questa battaglia, ecco che oggi un gruppo di ricercatori dell’Università di Toronto ha comunicato di aver creato un nuovo filtro privacy per le foto che impedisce ai sistemi di riconoscimento facciale di rilevare e riconoscere i volti.
I ricercatori di U of T Engineering guidati dal Professor Parham Aarabi (ECE) e dallo studente laureando Avishek Bose (candidato ECE MASc) hanno creato un algoritmo per interrompere dinamicamente i sistemi di riconoscimento facciale.
La soluzione messa a punto sfrutta una tecnica di apprendimento profondo chiamato formazione in contraddittorio, che mette due algoritmi di intelligenza artificiale l’uno contro l’altro. Aarabi e Bose hanno progettato due reti neurali: la prima per identificare i volti e la seconda per interrompere il compito di riconoscimento facciale della prima. I due algoritmi sono costantemente in lotta e imparano gli uni dagli altri, dando vita a una corsa agli armamenti contro l’intelligenza artificiale.
“I due sistemi sono in costante lotta e stanno imparando l’uno dall’altro, dando vita a una corsa agli armamenti contro l’IA“, scrive U of T Engineering. Il risultato di questa piccola battaglia è stata la creazione di un vero e proprio filtro fotografico, tanto simile a quelli che vediamo ogni giorno su app quali Instagram, che può essere applicato a qualsiasi foto per proteggere la privacy, ovvero rendere il volto presente nella fotografia non riconoscibile. La cosa bella è che questo algoritmo altera pixel molto specifici nell’immagine, apportando modifiche che sono quasi impercettibili per l’occhio umano.
“L’intelligenza artificiale può ‘attaccare’ ciò che la rete neurale sta cercando di fare per il rilevamento del volto“, afferma Bose. “Se l’intelligenza artificiale di rivelazione cerca l’angolo degli occhi, ad esempio, l’altro algoritmo regola l’angolo degli occhi in modo che sia meno evidente. Ovvero crea disturbi molto piccoli nella foto, ma sufficientemente significativi da ingannare il sistema di riconoscimento“.
Aarabi e Bose hanno testato il loro sistema sul set di dati da 300-W, uno standard industriale di oltre 600 facce che include un’ampia gamma di caratteristiche etniche, condizioni di illuminazione e ambienti. Hanno dimostrato che il loro sistema è in grado di ridurre la percentuale di facce originariamente rilevabili da quasi il 100 per cento allo 0,5 per cento.
“La chiave era addestrare le due reti neurali l’una contro l’altra – una creando un sistema di rilevamento facciale sempre più robusto e l’altra uno strumento sempre più potente per disabilitare il rilevamento facciale“, afferma Bose, l’autore principale del progetto. Lo studio del team sarà pubblicato e presentato al workshop internazionale IEEE 2018 sull’elaborazione dei segnali multimediali che si terrà nel corso dell’estate prossima.
Oltre a disabilitare il riconoscimento facciale, la nuova tecnologia interrompe anche la ricerca basata sull’immagine, l’identificazione delle caratteristiche, l’emotività e la stima dell’etnia, e tutti gli altri attributi basati sul volto che potrebbero essere estratti automaticamente dalle foto.
Successivamente, il team spera di rendere il filtro sulla privacy disponibile al pubblico, tramite un’applicazione o un sito web.
“Dieci anni fa questi algoritmi avrebbero dovuto essere definiti dall’uomo, ma ora le reti neurali imparano da sole – non c’è bisogno di fornire loro altro che dati di allenamento“, dice Aarabi. “Alla fine possono fare cose davvero incredibili. È un momento affascinante, c’è un potenziale enorme“.
Per rendere l’idea di cosa quest’algoritmo può fare, qui di seguito ci sono tre esempi di ritratti che permettono facilmente il riconoscimento del volto del soggetto (in alto a sinistra) e la corrispondente copia con il filtro privacy applicato (in alto a destra), nonché le differenze di pixel tra le due foto (in basso). Si noti che i cambiamenti di pixel sono stati ingranditi di 10 volte per rendere più facile per noi capire dove il filtro agisce.
Il filtro apporta piccole modifiche a specifici pixel nelle foto, modifiche che difficilmente possono essere viste ad occhio nudo. Ma questi pixel modificati nascondono le cose che i sistemi AI di rilevamento del volto cercano in un volto.
“L’intelligenza artificiale dirompente può ‘attaccare’ ciò che la rete neurale sta cercando per il rilevamento del volto”, afferma Bose. “Se l’intelligenza artificiale di rivelazione cerca l’angolo degli occhi, ad esempio, regola l’angolo degli occhi in modo che siano meno evidenti. Crea disturbi molto sottili nella foto, ma per il rivelatore sono abbastanza significativi da ingannare il sistema”.
Utilizzando un ampio set di ritratti di varie etnie, illuminazione e ambienti, i ricercatori hanno scoperto che il filtro privacy ha ridotto il numero di volti rilevati dal 100% fino allo 0,5%.
I ricercatori intendono mettere a disposizione del pubblico il filtro sulla privacy attraverso un’applicazione e/o un sito web.
