Les images pixélisées ne concordent pas pour la reconnaissance faciale A.I.

Trois chercheurs de Cornell Tech à New York ont ​​découvert que des images floues et pixelisées ne pouvaient rivaliser avec l'intelligence artificielle. Bien que les images obscurcies restent incompréhensibles aux yeux de l’homme et semblent donc protéger leur contenu sensible, les réseaux de neurones peuvent souvent dire exactement qui est qui dans l’image originale.

En d'autres termes, les humains ne sont plus le test décisif. Nous ne pouvons plus simplement nous demander si quelque chose vainc tous les cerveaux humains. Les I.I.s - même les simples I.I.s - peuvent surpasser les humains, donc les vaincre doit aussi toujours faire partie de l'équation.

L’étude des chercheurs de Cornell Tech s’est concentrée sur le test d’algorithmes préservant la confidentialité, qui floutent ou pixelisent certaines informations ou parties d’images. Auparavant, nous faisions implicitement confiance aux logiciels ou aux algorithmes préservant la confidentialité, estimant que les informations masquées étaient sécurisées, car aucun Humain pourrait dire qui était derrière le voile numérique. L’étude montre que cette époque est révolue et que les méthodes d’anonymisation associées ne dureront pas longtemps non plus. Les réseaux de neurones rencontrés avec ces mesures de confidentialité ne sont pas en reste.

Richard McPherson est un doctorat candidat en informatique à l'Université du Texas à Austin, qui a suivi son professeur, Vitaly Shmatikov, à Cornell Tech. Ensemble, avec Reza Shokri, ils ont démontré que de simples réseaux de neurones pouvaient démasquer des techniques communes d’obscurcissement d’image. La technique est relativement peu sophistiquée, ce qui rend la découverte plus inquiétante: il s’agit de méthodes courantes et accessibles, qui ont permis de vaincre les normes de l’industrie en matière d’obscurcissement.

Les réseaux de neurones sont de grandes structures en couches de nœuds, ou neurones artificiels, qui imitent la structure de base du cerveau. Ils sont "basés sur une compréhension simplifiée du fonctionnement des neurones", explique McPherson. Inverse. "Donnez-lui une entrée, et le neurone soit déclenche ou ne déclenche pas."

Ils sont également capables d’apprentissage par une définition approximative du terme. Si vous montrez quelque chose de «rouge» à un être humain sauvage (complètement non éduqué) et que vous lui dites de choisir toutes les choses «rouges» dans un seau, ils vont se débattre au début, mais s'améliorer avec le temps. De même avec les réseaux de neurones. L'apprentissage automatique consiste simplement à apprendre à un ordinateur à choisir les éléments «rouges», par exemple dans un seau virtuel d'objets variés.

C’est ainsi que McPherson et sa société ont formé leur réseau de neurones. «Dans notre système, nous créons un modèle - une architecture de réseaux de neurones, un ensemble structuré de ces neurones artificiels - puis nous leur fournissons une grande quantité d’images obscurcies», explique-t-il. "Par exemple, nous pourrions leur donner cent images différentes de Carol qui ont été pixélisées, puis cent images différentes de Bob qui ont été pixélisées."

Les chercheurs étiquettent ensuite ces images pixellisées et, ce faisant, indiquent au modèle le nom de chaque image. Après le traitement de cet ensemble de données, le réseau sait fonctionnellement à quoi ressemblent Pixelated Bob et Pixelated Carol. "Nous pouvons ensuite donner une image pixelisée différente de Bob ou de Carol, sans l’étiquette", explique McPherson, "et elle peut deviner et dire:" Je pense que c’est Bob avec une précision de 95%."

Le modèle ne reconstruit pas l’image obscurcie, mais le fait qu’il soit capable de vaincre les méthodes d’anonymisation les plus courantes et les plus fiables autrefois est déconcertant en soi. "Ils sont capables de comprendre ce qui est obscurci, mais ils ne savent pas à quoi ça ressemblait à l'origine", a déclaré McPherson.

Mais les réseaux de neurones sont encore capables de faire mieux que les humains. Lorsque les images ont été obscurcies au moyen d’une technique standard, le système était toujours précis à plus de 50%. Pour des images légèrement moins obscures, le système s’est avéré remarquable, avec une précision d’environ 70%. La norme YouTube pour les visages flous a complètement échoué; même les images les plus floues ont été contournées par le réseau de neurones, qui s'est avéré précis à 96%.

D'autres techniques d'anonymisation de données, de textes et d'images précédemment non taillées sont également peu fiables. «Au cours de l'été, un travail a été consacré à l'anonymisation du texte à l'aide de la pixellisation et du flou, et a montré qu'il était également possible de le casser», explique McPherson. Et d’autres méthodes, jadis dignes de confiance, pourraient bien être mises de côté. Bien qu’il ne connaisse pas les tenants et les aboutissants des techniques d’obscurcissement de la voix, comme celles utilisées pour les interviews télévisées anonymes, il «ne serait pas surpris» si les réseaux de neurones pouvaient rompre l’anonymisation.

La découverte de McPherson prouve donc que «les méthodes de préservation de la confidentialité que nous utilisions dans le passé ne sont pas vraiment à la hauteur, en particulier avec les techniques modernes d’apprentissage automatique». En d’autres termes, nous nous codons nous-mêmes dans des dispositifs de formation non pertinents. nous surpasser dans tous les domaines.

«À mesure que la puissance de l'apprentissage automatique augmentera, ce compromis évoluera en faveur des adversaires», ont écrit les chercheurs.