即使照片「打格仔」人工智能仍可辨认出来

导读 把照片、影像模糊化或「打格仔」(加马赛克)处理,向来是保护私隐及敏感资料的重要手段。例如Google地图的街景服务,会把照片中的人脸

把照片、影像模糊化或「打格仔」(加马赛克)处理,向来是保护私隐及敏感资料的重要手段。例如Google地图的街景服务,会把照片中的人脸及车牌等部份模糊处理,以隐藏有关资讯。

然而这种后製处理手段,是否真的能够把图片中的资讯隐去,使其不被他人发现?德州大学奥斯汀分校及康奈尔科技学院的研究人员,就利用人工智能技术,成功辨认出经过各种模糊处理的不同照片。

先不用兴奋或恐慌,他们没有发现甚么新方法去移除马赛克、令照片回复原状,而是透过颇为主流的「深度学习」(deep learning)技术,先提供图片去「训练」人工神经网络,再进行测试,使其从中「学习」辨认图片。

三名作者把论文预印本放上网络存库arXiv。其中一名作者Vitaly Shmatikov表示,他们在这篇论文中用到的技术在图像识别领域中非常普遍,因此令人担忧。网络上不难找到有关教学,Shmatikov认为任何有一定知识的人都能够做同样的事,令不少人的私隐受到影响。

肉眼辨认不到的,让电脑来

在这项研究中,作者选取了4组不同的图片来源,分别是10张手写数字照片的MNIST、10张彩色交通工具或动物照片的CIFAR-10、灰阶人像照的AT&T(40人共400张图片)以及过万张名人照片的FaceScrub。

针对这4个图片组别,作者分别使用不同方法去将照片作模糊处理,包括4种不同精细度——2×2、4×4、8×8及16×16——的马赛克,将照片加上模糊滤镜,以及採用「私隐图片分享技术」(P3)——类近公钥加密法,把照片分成「公开」及「私人」图片的技术——中3个不同设定。

从以下图表可以看到各种模糊处理方法的分别(P3的设定方面,数字越小越难辨认)︰

然后他们使用机械学习技术,训练人工神经网络辨认图片(学习及测试用的图片并不相同),再进行测试。结果人工智能的表现超出预期︰

上表中,Baseline一行的数字代表随机猜中的比率,而其他数字则代表人工智能成功辨认的比率。Top 1代表人工智能第一选择準确的比率,而Top 5则表示首5个选择準确的比率。

从中可见,即使採用较不清晰的16×16马赛克,人工智能的表现仍然不错,例如在AT&T的人像图片组中,準确度高达96.25%。而在範围较大的FaceScrub中,仍然有高达57.56%的準确度——假如容许有5个选择,準确度更超过7成。

在AT&T的图片组中,研究人员亦利用YouTube内建的工具,把人脸照片模糊化处理︰

作者承认,只用肉眼看的话,他们完全无法辨认出原图是哪一张,但他们训练出来的人工神经网络辨认準确度却高达57.75%——首5个选择的準确度更有87.75%,接近9成。

这项研究所使用的图片较少,而且是从特定範围内选择答案——换言之人工智能只能从它「见过」的资料中找答案——在实际应用上,暂时未必能破解模糊图片的隐藏资讯。

人工智能对私隐的威胁

不过结果已足以令人关注,人工智能在辨识技术上对私隐会带来何等程度的威胁。举例说,不少地方均有镜头监视,拍下的影像未必清晰,但利用网络找来的海量图片、脸部识别技术等,再结合此研究的技术,或能够用作「起底」找到特定目标。

Shmatikov说︰「在保安及私隐领域,人们未能充分体会机械学习的力量。除非有人显示现有的技术已足以造成私隐洩漏,否则他们不会意识到这一件事。」

论文指出,今次的实验显示,透过后期制作去隐藏图片资讯有一定限制,虽然能够使人类无法辨认部份敏感资讯,但这些图片往往仍保留充份讯息,让人工智能可以辨认出来。

作者建认研究保护私隐技术的人员,不应只靠人眼观察是否能认出资讯,而应该测试利用顶尖图像识别技术可以寻回多少讯息。他们又认为,设计出能够保护私隐又保留图片新闻价值的技术,将会是未来其中一个重要的研究题目。

相关文章︰

零售商使用可识别容貌监控镜头 惹私隐争议 俄罗斯「点相」App 一秒识别路人惹争议 利用人工智能 把梵谷的艺术风格移植到其他影片

资料来源︰

Defeating Image Obfuscation with Deep Learning (Richard McPherson, Reza Shokri, Vitaly Shmatikov, 2016) AI Can Recognize Your Face Even If You’re Pixelated (Wired) Nothing pixelated will stay safe on the internet (Quartz)

免责声明:本文由用户上传,如有侵权请联系删除!

猜你喜欢

最新文章