Lehetséges-e manipulálni az arcfelismerő rendszereket?

Egyre több helyen szerelnek fel kamerákat, gyakran észre sem vesszük ezeket. A kamerák mögött álló, esetleg fejlett algoritmusok pedig feldolgozzák biometriai adatainkat. Miután ezek a gépi programok egyre fejlettebbek, kifinomultak, érdekes kérdés, hogy vajon hogyan és mennyire lehet elrejteni előlük a személyazonosságot.

Becsaphatók-e, megtéveszthetők-e az egyre fejlettebb arcfelismerő rendszerek? - tette fel a kérdést a Gizmodo, és a válaszhoz tekintélyes szakemberekhez fordult.

A világjárvány idején, amikor szinte mindenki maszkot viselt, bajba kerültek az arcfelismerő rendszerek, azonban hamar alkalmazkodtak ehhez a helyzethez. Elég csak az iPhone arcfelismerésére gondolni: az iOS 15.4 vagy újabb verzió esetén (az iPhone 12-től) már maszk viselése közben is feloldható a telefon, ugyanis a Face ID elemezni tudja a szem körüli egyedi jellemzőket. Az emberek pedig nem tudják reálisan megváltoztatni a szemük alakját, hogy becsapják az arcfelismerő rendszereket.

Persze ha valaki a maszk mellé még egy nagy, sötét napszemüveget is feltesz, akkor tényleg nehéz felismerni az arcát, de ez - véli Cynthia Rudin, a Duke Egyetem professzora - nem átalakítja, csak elrejti az arcot. Viszont tegyük fel, hogy valakinek sikerül drámaian átalakítania az arcát, mondjuk valamilyen plasztikai műtéttel, akkor végre becsaphatja az arcfelismerőket? A professzorasszony szerint ebben az esetben is van egy csavar. Ugyanis abban a pillanatban, amikor az arca felkerül az internetre a nevével együtt (és ehhez elég, hogy egy barát megcímkézze egy képen a közösségi médiában), az összes arcfelismerő rendszer, amely embereket keres az interneten máris azonosította.

Walter Scheirer, a Notre Dame Egyetem professzora rámutat, hogy a megjelenésünk módosításának mértéke az arcfelismerő algoritmusok alkalmazási módjától függ. Az emberi biometrikus adatok az identitások azonosítására két alapvető megközelítést kínálnak: az egy az egyhez és az egy a sokhoz módszert. Az első esetben a rendszer ellenőrzi, hogy a kamera előtt álló személy azonos-e a korábban rögzített fényképpel az adatbázisában. Ez a megközelítés már régóta elterjedt a magas biztonsági szintet igénylő számítógépes hitelesítési folyamatokban és a bűnüldözés területén, de ma már egyre inkább a hétköznapi helyzetekben is előfordul, például a nemzetközi járatokra való beszálláskor a repülőtereken. Az egy a sokhoz módszer esetében a rendszer egy ismeretlen képet hasonlít össze a korábban nyilvántartott, releváns személyazonosságok fényképeivel. Ezt a megközelítést gyakran alkalmazzák videó alapú megfigyelési környezetekben, beleértve a bűnüldözési és titkosszolgálati műveleteket is.

Az arcfelismerő algoritmusok terén jelentős előrelépések történtek a kifinomult mesterséges neurális hálózatok használatával, amelyek figyelemreméltóan magas egyezési pontosságot érnek el a megjelenések széles skáláján egyetlen egyén esetében. Ha a megszerzett fotó szemből mutatja az egyént, semleges arckifejezéssel, jó megvilágítással és ellenőrzött háttérrel, az olyan alapvető kitérési technikák, mint a kozmetika, az arcszőrzet hozzáadása/eltávolítása, a frizura megváltoztatása stb., nem működnek. A legújabb kutatások a plasztikai sebészet hatását vizsgálták az arcfelismerésre, és bár az arcszerkezet nem esztétikus, drasztikus megváltoztatása némileg működhet, a gyakoribb kozmetikai eljárásoknak (pl. botox) nincs akkora hatása, mint gondolnánk.

Az egyedi azonosítás elkerülése szempontjából a kontrollálatlan környezetekben a feladat némileg egyszerűsödik – nincs szükség drasztikus sebészeti beavatkozásokra. Még a legfejlettebb neurális hálózatok is komoly nehézségekbe ütköznek, amikor alacsony minőségű fényképekkel találkoznak, amelyek nem tartalmazzák az emberi arc részletes információit, különösen, ha a potenciális azonosítók listája kiterjedt. Például a széles karimájú kalapok komoly zavaró tényezővé válhatnak, mivel képesek eltakarni a homlokot és a hajat, ráadásul árnyékot is vethetnek az arcra. Scheirer megjegyezte, hogy ha valaki gyors mozgásban van, az elmosódást okozhat a rögzített képen. A legjobb tanácsa a rendszer kijátszására vonatkozóan: ha tudja, hogy hol használják az arcfelismerést, a legegyszerűbb, ha ezeket a területeket elkerüli. Az, hogy ez a tanács mennyire marad releváns, nagymértékben függ a technológia elterjedtségétől az elkövetkező évek során.

Az "arcfelismerés elkerülése" definíciót Xiaoming Liu, a Michigani Állami Egyetem professzora úgy értelmezi, hogy az arcfelismerő rendszer (FRS) nem ismeri fel az alany arcát, amikor azt fényképezőgép rögzíti. Fel is sorol néhány módszert, amellyel megbuktatható az arcfelismerő rendszer.

Azzal kezdi, hogy a legtöbb mesterséges intelligencia esetében a bemeneti adatminta váratlan módosítása megzavarhatja a rendszert. Ugyanez vonatkozik az arcfelismerő rendszerekre is. A CMU-nak például van egy kutatása olyan speciális szemüvegek tervezésével kapcsolatban, amelyek összezavarhatják az arcfelismerést. Elképzelhető, hogy valaki hasonló ötletet követve tervezhet egy sálat, arcmaszkot vagy akár bajuszt, amin szintén elvérezhet az FRS.

Liu megállapítása szerint az arc megjelenése is módosítható, hogy az FRS (facial recognition system) másként ismerje fel az egyént. A sminkelés az egyik legelterjedtebb technika erre a célra. Azonban a kérdés, hogy hol és mennyi sminket érdemes alkalmazni, meglehetősen bonyolult, hiszen a válasz nagymértékben függ az egyéntől. Vannak, akiknek arckifejezései hasonlóbbak másokéhoz, így egy viszonylag apró sminkbeli változtatás is elegendő lehet ahhoz, hogy másképp azonosítsák őket. Ezzel szemben, ha valakinek az arca különösen egyedi, akkor sokkal drasztikusabb sminkmódosítások szükségesek a kívánt hatás eléréséhez.

Kevin V. Bowyer, a Notre Dame Egyetem professzora is úgy gondolja, hogy ha valaki szeretné becsapni az arcfelismerő rendszereket, sok mindent tehet. Felvehet sötét napszemüveget, megváltoztathatja a frizuráját, és még mindig természetesnek tűnhet. Lehet eltúlzott arckifejezést csinálni, de ez valószínűleg nem fog természetesnek tűnni. Esetleg ne nézzen közvetlenül a kamerába, hogy az új fénykép szöge eltérő legyen. Sokkal drasztikusabb (bár ritka), hogy meghízik vagy lefogy valaki. Alkalmazhat kozmetikumokat is, hogy "megváltoztassa a megjelenését". Azonban ezen módszerek egyike sem garantálja, hogy nem fog megegyezni a régi fényképével. Nem lehet tudni, hogy a rendszer melyik régi fényképét fogja használni az új fényképpel való összehasonlításhoz, vagy azt, hogy milyen algoritmust, illetve milyen küszöböt használnak. Persze ha mindezeket ismerné, kísérletezhetne a leghatékonyabb kicselezési módszert.

Akár alkalmazzuk az említett módszerek valamelyikét, akár nem, úgy tűnik, hogy biometrikus adataink védelme terén egyre inkább hátrányos helyzetbe kerülünk. A jövőben valószínűleg a szabályozás marad az egyetlen eszközünk, hogy biztosak lehessünk abban: függetlenül attól, hogy valaki részt vesz egy demonstráción vagy csupán sétál az utcán, az arca és minden vele kapcsolatos "információ" továbbra is saját tulajdonunkban marad, és kizárólag a mi ellenőrzésünk alatt áll.