AI軟體Fawkes如何透過「對抗生成網路」,反制Deepfake換臉歪風?

AI軟體Fawkes如何透過「對抗生成網路」,反制Deepfake換臉歪風?
Photo Credit: iStock

我們想讓你知道的是

雖然看似Deepfake技術因為負面新聞而廣為人知,但其實它可以應用在正面的議題上。利用Deepfake的原理「對抗生成網路」,可以幫照片加上像素等級且難以察覺的細微改變,讓臉部辨識系統無法正確認出照片中的人,保護照片隱私。

議題背景

AI的人臉辨識技術,讓需要辨識身分的數位服務更加便利,例如許多人擔憂臉書辨識照片的AI技術,會更容易洩漏個人資訊;但另一方面,有團隊正研究如何運用AI來保護照片的隱私。

根據芝加哥大學電腦科學系實驗室(SAND Lab. Security, Algorithms, Networking and Data)的研究,運用AI的一種演算法所開發的新軟體「Fawkes」,可以幫照片加上像素等級且難以察覺的細微改變,讓臉部辨識系統無法正確認出照片中的人。此篇研究於2020年8月發表在第29屆USENIX安全研討會(29th USENIX Security Symposium)。研討會由高等計算系統協會所贊助。

究竟「Fawkes」這個新軟體為什麼可以對抗臉部辨識系統,並保護照片?只要運用Fawkes就不用擔心照片洩漏隱私的問題嗎?我們邀請專家釋疑。

專家怎麼說?

國立屏東科技大學資訊管理系助理教授 許志仲

2020年9月7日

根據SAND Lab的研究,Fawkes主要是透過「對抗生成網路」(Generative adversarial nets,GANs)的延伸技術,例如對抗攻擊(Adversarial attack),或是擾動(Perturbation)的技術(ref.1),來欺騙目前已知的各種人臉辨識系統。

上述兩種技術的目標都是希望可以發展出一個人眼幾乎不可見,且以最小程度改變原影像的干擾訊號,將此干擾訊號加入原本圖像之後,使得已知各種運用卷積神經網路(CNN)技術(ref.註2)的人臉辨識系統,無法辨識出原本影像類別,或甚至辨識成其他不相關物件,例如將車子辨識為貓。用擾動的技術來欺騙人臉辨識系統,雖然可以保護照片隱私,但也可以欺騙其它的辨識系統,所以也帶來許多安全的隱憂。

例如自駕車視覺系統,如果擾動速限標誌的影像,變成沒有速限;或是前方有其他車子,卻因為擾動技術,把車子辨識為道路,就非常危險。而且要運用Fawkes軟體保護照片隱私,需要先由人類設定訓練Fawkes對抗雜訊的目標,可能是希望讓辨識系統無法辨識,或辨識錯誤。依據不同的目標,訓練AI的方法不同,因此,不見得可以直接應用到其他的照片上。

現在許多人工智慧系統可以快速且精準的偵測人臉,並辨識其身分,雖然可以應用在許多有封閉網路的安全系統上,例如保安系統、海關自動通關系統等,但也容易造成使用者隱私洩漏的疑慮。多數人不願意自己隱私被侵犯,希望現在的系統可以保護自己的隱私,或是讓人臉辨識系統失效,Fawkes可以做到後者。

然而人臉辨識系統的更新是日新月異,難保未來有其他新型態的人臉辨識系統可以成功辨識出這些受干擾的人臉影像,所以Fawkes對於隱私保護,其實有限。一般做人臉影像辨識相關應用的時候,研究人員或廠商要先收集照片來訓練AI,但使用者可能根本不想給自己以外的人看到照片。因此讓AI無法辨識照片,是否就能保護隱私,我覺得可以再討論。

但利用AI去對抗AI,並非真正解決之道,比較可行的方案應該是用隱私運算的方法,例如同態加密 (Homomorphic encryption)(ref.3),但因為目前電腦用隱私運算方法的速度很慢,尚未能實際應用。若培養使用者的隱私保護概念,讓大家了解使用AI相關應用下可能的隱私道德風險,較能避免照片隱私洩漏。

國立交通大學智慧科學暨綠能學院副教授 魏澤人

2020年9月11日

「Fawkes」這個像魔術一樣的技術,主要的原理在於電腦的視覺判斷方式和人類不完全一樣,目前人臉辨識的方法,很多是擷取臉部的視覺特徵後,再加以比對。Fawkes在圖片中,增加一點肉眼看不到的小擾動,讓電腦擷取的圖片特徵近似於另外一個人,用這種方式混淆人臉辨識系統。

但目前的電腦視覺利用深度學習的技術還是跟人眼辨識不一樣,之前也有研究嘗試使用和Fawkes原理類似的對抗攻擊(ref.1)技術,可以混淆電腦視覺,例如讓電腦把數字「3」錯誤的辨識成「8」。(ref.4)所以我們已經知道有視覺上看不出的小擾動,足以干擾深度學習模型。Fawkes 主要的特點,是實際驗證這個擾動的方法可以有效的同時混淆很多現有的人臉辨識系統。

相對應的,也有較能抵抗這類小擾動的電腦辨識模型。Fawkes的報告中,也有針對這類模型試驗,發現 Fawkes 還是有效果,但效果較低一點。如果針對隱私很注重的人,可以讓小擾動的幅度大一點,就能維持較佳的隱私。

長期來說,我認為除非電腦視覺的研究停滯不前,否則電腦視覺的判斷技術應該會更穩定,這類保護隱私的方式會失效。但短期內,這種方式還是能達到一定的隱私保護效果。

參考資料

  1. 對抗攻擊(Adversarial attack)或擾動(Perturbation)技術:擾動的技術是對抗攻擊的其中一種方法,但是目的都是對原本的圖像做細微且人眼無法分辨的修改,讓其它的AI辨識系統辨識錯誤或無法辨識。
  2. 關於卷積神經網路(CNN)技術的解釋歡迎參考〈深度學習卷積神經網路用於醫療診斷─專家QA
  3. 同態加密 (Homomorphic encryption):這種特殊的加密方法,可以讓多個資料不用解密就可以進入雲端計算,計算時因為不包含解密過程,所以不會被得知加密方法和機密資訊。
  4. Papernot, N., McDaniel, P., Goodfellow, I., Jha, S., Celik, Z. B., and Swami, A. (2017). “Practical black-box attacks against machine learning.”Proceedings of the 2017 ACM on Asia conference on computer and communications security (pp. 506-519).

本文經台灣科技媒體中心授權刊登,原文刊載於此

延伸閱讀

責任編輯:蕭汎如
核稿編輯:翁世航


猜你喜歡


飛宏科技推出業界最高功率密度電競筆電電源-280W GaN充電器

飛宏科技推出業界最高功率密度電競筆電電源-280W GaN充電器
Photo Credit:飛宏科技

我們想讓你知道的是

飛宏科技新推出專為電競筆電設計的280W GaN高功率電源充電器,結合電路設計與製造工藝之最,帶給終端使用者前所未有小型化、輕量化、與頂規化的使用體驗。

飛宏科技在2021年底推出全新280W GaN(氮化鎵)高功率電競筆電電源,超緊湊尺寸160*69*25mm(276cc)與700g輕量化設計,使其功率密度突破業界多年來設計極限,達到眾所期盼的16W/in3(1W/CC),因而相較一般市面販售相同輸出功率產品,體積縮小約50%,重量減輕約30%,大小重量相當於一般180W電源。

飛宏科技這款電競電源的設計研發–電路上結合了高效率拓樸結構、零電壓零電流軟切換技術、新型GaN半導體元件、與自主開發數位控制機制等技術;工藝上則採用了3D零件配置與佈線技巧、功率模組設計、及獨特GaN生產製程管控,最終成就了品牌客戶與終端使用者所冀求真正輕、薄、窄、小的高功率充電器,為電源業界與電競市場帶來突破性的研發創新亮點。

電競電源渲染圖1
Photo Credit:飛宏科技

安全可靠280W GaN頂級規格充電器

飛宏科技表示,目前市面上所謂的GaN電源都著重強調在所謂的小型化,但往往都忽略電源設計更應重視安全性、可靠度、及滿足終端使用者真實的使用情境。飛宏科技此款新小型化電源已取得各項國際安規認證包括IEC/EN/UL 60950-1 & 62368-1、CCC(5000m)及電磁相容(EMC)認證包括EN55032 Class B EMI & EN55024 EMS等規範。

此款電源更是針對高階電競筆電應用需求如:支援高階處理器及顯示器的瞬間峰值功率拉載、玩家日以繼夜的重度使用、酷炫輕薄的外型、與輕巧好收納及攜帶方便等,同步提供以下的頂級規格及功能:

  • > 95%滿載轉換效率與< 0.2W空載待機損耗
  • 560W(200%額定功率)瞬間峰值功率輸出
  • 3年/26,280小時,滿載高溫下長壽命保證
  • 五種數位化安全保護機制
  • 2公尺輸出線上不需加任何EMI磁芯輔助即能通過EMI認證
  • < 150uA低漏電電流

電競筆電首選 極緻設計之展現

近年來電競筆電產業蓬勃發展,品牌廠商無不卯足全力導入最新軟硬體技術與材料來提升性能,使產品設計上能不斷推陳出新,以滿足電競玩家挑剔與追求極緻體驗的渴望,唯在配角「電源充電器」上無太多創新,而導致玩家也只能默默接受彩盒中所附帶大而笨重的電源。

飛宏科技新推出這款專為電競筆電設計的280W GaN高功率電源充電器,結合電路設計與製造工藝之最,突破過往的設計瓶頸與極限,可充分帶給終端使用者前所未有小型化、輕量化、與頂規化的使用體驗。

本文章內容由「飛宏科技」提供,經關鍵評論網媒體集團廣編企劃編審。


猜你喜歡