Pixelerade bilder är ingen match för Cornell Techs ansiktsigenkänning A.I.

Tre forskare vid Cornell Tech i New York City har upptäckt att suddiga och pixelerade bilder inte matchar artificiell intelligens. Även om dolda bilder förblir oförståliga för mänskliga ögon, och så verkar skydda deras känsliga innehåll, kan neurala nätverk ofta berätta exakt vem som är vem i originalbilden.

Med andra ord är människor inte längre litmusprovet. Vi kan inte längre bara fråga om något besegrar alla mänskliga hjärnor. A.I.s - även enkelt A.I.s - kan överträffa människor, så att besegra dem också måste alltid vara en del av ekvationen.

Cornell Techs forskares studie fokuserade på att testa integritetsskyddande algoritmer, vilket suddas eller pixlarar viss information eller delar av bilder. Tidigare betrodde vi sekretessbevarande programvara eller algoritmer implicit och fann att informationen de dolde var säker eftersom nej mänsklig kunde berätta för vem som stod bakom den digitala slöjan. Studien visar att den tiden är över, och relaterade anonymiseringsmetoder kommer inte heller att ligga länge. Neurala nätverk, uppfyllda med dessa sekretessåtgärder, är otroliga.

Richard McPherson är en doktorand kandidat i datavetenskap vid University of Texas, Austin, som följde sin professor, Vitaly Shmatikov, till Cornell Tech. Tillsammans med Reza Shokri demonstrerade de att enkla neurala nätverk skulle kunna omarbeta vanliga image obfuscationstekniker. Tekniken är relativt osofistikerad, vilket gör upptäckten mer oroande: Dessa är vanliga, tillgängliga metoder och de lyckades besegra branschnormerna för obfuscation.

Neurala nätverk är stora, lagrade strukturer av noder eller artificiella neuroner som efterliknar hjärnans grundläggande struktur. De är "baserade på en förenklad förståelse för hur neuroner fungerar", säger McPherson Omvänd. "Ge det lite inmatning, och neuronen brinner eller eldar inte."

De kan också "lära", med en grov definition av termen. Om du visar en vild (helt obearbetad) människa något "röd" och berätta för dem att välja ut alla "röda" saker från en hink, kommer de att kämpa först men förbättra sig över tiden. Så med neurala nätverk. Maskininlärning innebär bara att undervisa en dator för att välja ut de "röda" sakerna, till exempel från en virtuell hink av olika saker.

Så utbildade McPherson och företag sitt neurala nätverk. "I vårt system skapar vi en modell - en arkitektur av neurala nätverk, en strukturerad uppsättning av dessa artificiella neuroner - och sedan ger vi dem en stor mängd förskämda bilder", säger han. "Vi kan till exempel ge dem hundra olika bilder av Carol som har blivit pixelerade, sedan hundra olika bilder av Bob som har blivit pixelerade."

Forskarna märker sedan dessa pixelerade bilder och berättar sålunda modellen som ligger i varje bild. Efter att ha bearbetat denna dataset vet nätverket funktionellt vad Pixelated Bob och Pixelated Carol ser ut. "Vi kan sedan ge den en annan pixelbildad bild av Bob eller Carol, utan etiketten", säger McPherson, "och det kan gissa och säga," Jag tror att det här är Bob med 95 procent noggrannhet. ""

Modellen rekonstruerar inte den förvirrade bilden, men det faktum att den kan klara de vanligaste och tidigare pålitligaste anonymiseringsmetoderna är oroande i sig själv. "De kan räkna ut vad som är förvirrad, men de vet inte vad det ursprungligen såg ut," säger McPherson.

Men de neurala nätverken kan fortfarande göra så mycket bättre än människor. När bilderna var mest obfuscated med en branschstandard teknik var systemet fortfarande över 50 procent exakt. För lite mindre obfuscated bilder visade systemet sig anmärkningsvärt, med ungefär 70 procent noggrannhet. YouTubes normer för suddiga ansikten är helt misslyckade; även de mest suddiga bilderna var trounced av det neurala nätverket, vilket visade sig vara 96 ​​procent exakt.

Andra tidigare osläckta data-, text- och bildanimieringstekniker är likaledes opålitliga. "Det var ett jobb över sommaren som såg på anonymiserande text med hjälp av pixelering och suddning, och visade att de också kunde brytas," säger McPherson. Och andra en gång trovärdiga metoder kan vara på väg ut genom dörren också. Trots att han inte känner till in-and-outs av röstbekämpningstekniker, som de som används för anonyma tv-intervjuer, "skulle han inte bli förvånad" om neurala nätverk kunde bryta anonymiseringen.

McPhersons upptäckt visar att "de integritetsskyddande metoder som vi tidigare haft är inte riktigt snusiga, särskilt med moderna maskininlärningstekniker." Med andra ord kodar vi oss för irrelevans, träningsmaskiner till överträffa oss i alla världar.

"När maktinlärningens kraft växer kommer denna byte till förmån för motståndarna," forskarna skrev.