Een hoed en een zonnebril zijn misschien niet voldoende om de meest geavanceerde gezichtsherkenningsalgoritmen voor de gek te houden.
Onze biometrische gegevens zijn vrij beschikbaar voor iedereen met een AI-model en een camera . Gezichtsherkenningssoftware is zo’n alomtegenwoordige technologie dat we onze gegevens indienen wanneer we door de beveiliging van een vliegveld gaan of een drogisterij binnenlopen. Je begint je af te vragen of het mogelijk is om onze gezichtskenmerken te verbergen of, in het extreme geval, ons uiterlijk zo te veranderen dat het het AI-algoritme voor de gek houdt.
Zou je niet gewoon een N95-masker, sjaal en zonnebril kunnen dragen om Big Brother te ontwijken? Tot nu toe is de beste manier om te voorkomen dat je wordt opgepikt door gezichtsherkenning, om camera’s te vermijden. Maar die taak kan binnenkort bijna onmogelijk worden. Privacy-experts waarschuwen dat we misschien al aan de verliezende kant staan als het gaat om de bescherming van onze biometrische gegevens. Binnenkort is de enige echte verdediging misschien federale regelgeving.
Cynthia Rudin
Gilbert, Louis en Edward Lehrman Distinguished Professor of Computer Science; Afdelingen Computer Science, Elektrotechniek en Computertechniek, Statistische Wetenschappen, Wiskunde en Biostatistiek & Bioinformatica; Duke University
Ik denk dat je je gezicht niet realistisch kunt veranderen om de state-of-the-art gezichtsherkenning voor de gek te houden. Ik denk dat ze tijdens de pandemie de systemen hebben veranderd om zwaar te vertrouwen op de vorm van de ogen van mensen, omdat zoveel mensen maskers over hun neus en mond droegen.
Ik weet eerlijk gezegd niet hoe mensen realistisch de vorm van hun ogen kunnen veranderen om deze systemen voor de gek te houden. Als je een zonnebril zou dragen en dan iets met je gezicht zou doen (misschien een masker of gekke dramatische make-up), dan zou het moeilijker zijn om je gezicht te detecteren, maar dat is vals spelen met de vraag – dat is je gezicht niet veranderen, dat is het gewoon verbergen!
Maar stel dat je iets dramatisch deed om je gezicht te veranderen – iets heel, heel dramatisch – zodat een gezichtsherkenningssysteem je niet zou herkennen. Misschien zou het een soort plastische chirurgie zijn. Nou, wat dan? Zodra je gezicht op internet belandt met je naam (denk aan een vriend die je tagt op sociale media of je geeft een lezing die online verschijnt), dan zullen alle gezichtsherkenningssystemen die op internet naar mensen zoeken je toch kunnen identificeren.
En nu komt je gezicht niet overeen met je rijbewijs of paspoort, dus reizen wordt echt moeilijk voor je. Dus, eerlijk gezegd, waarom zou je de moeite nemen? Hoe dan ook, ik ben blij dat je deze vraag stelt, want het laat zien hoe zinloos het is om te voorkomen dat andere mensen onze biometrische gegevens vastleggen. Onze regeringen vragen om wetten te maken om ons te beschermen is veel makkelijker dan onze gezichten de hele tijd drastisch te veranderen.
Walter Scheirer
Dennis O. Doughty Collegiate Professor of Engineering; Afdeling Computerwetenschappen en Engineering; Universiteit van Notre Dame
Het antwoord op de vraag hoeveel iemand zijn uiterlijk moet veranderen om gezichtsherkenning te vermijden, hangt af van de manier waarop het gezichtsherkenningsalgoritme wordt gebruikt. In de menselijke biometrie zijn er twee veelvoorkomende modi voor het matchen van identiteiten: 1-op-1 en 1-op-veel. In de 1-op-1-modus wordt geverifieerd of de beweerde identiteit van de persoon voor de camera overeenkomt met een eerder geregistreerde foto van die identiteit in de database van het systeem.
Dit scenario is al vele jaren gebruikelijk voor hoogbeveiligde computerauthenticatie en onderzoeken door wetshandhaving, maar is nu gebruikelijk in andere contexten met consumenten, zoals het instappen in een internationale vlucht op de luchthaven. In de 1-op-veel-modus wordt een foto van een onbekend onderwerp vergeleken met een set eerder geregistreerde foto’s van identiteiten van belang. Deze modus wordt vaak gebruikt in op video gebaseerde bewakingsinstellingen, waaronder wetshandhaving en inlichtingendiensten van de overheid.
Het is erg moeilijk om de 1-op-1-modus te ontwijken in een gecontroleerde omgeving (bijvoorbeeld in een boekingskamer in de plaatselijke gevangenis). Er zijn grote vorderingen gemaakt in gezichtsherkenningsalgoritmen door het gebruik van geavanceerde kunstmatige neurale netwerken, die opmerkelijk hoge matching-nauwkeurigheden bereiken over een breed scala aan verschijningen voor één individu.
Als de verkregen foto een frontale pose heeft, met een neutrale uitdrukking, goede belichting en een gecontroleerde achtergrond, zullen basisontwijkingstechnieken zoals cosmetica, gezichtshaar toevoegen/verwijderen, kapsel veranderen, enz., niet werken. Recent onderzoek heeft de impact van plastische chirurgie op gezichtsherkenning onderzocht, en hoewel onesthetische drastische veranderingen aan de gezichtsstructuur enigszins kunnen werken, hebben meer gebruikelijke cosmetische ingrepen niet zo’n grote impact als men zou denken.
Het ontwijken van de 1-op-veel-modus in een ongecontroleerde bewakingsomgeving is iets gemakkelijker: je hoeft geen chirurgische maatregelen te nemen. Zelfs de beste neurale netwerken hebben moeite met foto’s van lage kwaliteit die informatierijke pixels van het menselijk gezicht missen, vooral bij het vergelijken met een grote lijst met potentiële identiteiten.
De eerste stap is dus om het algoritme die pixels te ontzeggen door het gezicht te bedekken. Bedek het gezicht in gevallen waarin dat niet verdacht is, bijvoorbeeld door in de winter een sjaal te dragen en op een heldere dag een zonnebril. Hoeden met brede randen zijn ook verwarrend, omdat ze het voorhoofd en haar kunnen verbergen en een schaduw op het gezicht kunnen werpen.
Een hand over het gezicht houden is hiervoor ook goed. De tweede stap is om naar beneden te kijken terwijl je beweegt, zodat een camera in de buurt geen goed frontaal beeld van het gezicht vastlegt. Ten derde, als je snel kunt bewegen, kan dat bewegingsonscherpte veroorzaken in de vastgelegde foto: denk aan joggen of fietsen.
Mijn beste praktische advies voor ontwijking: weet waar gezichtsherkenning wordt ingezet en vermijd die gebieden gewoon. Hoe lang dit advies nuttig blijft, hangt echter af van hoe wijdverspreid de technologie in de komende jaren wordt.
De huidige algoritmes zijn behoorlijk tolerant ten opzichte van subtiele veranderingen in het uiterlijk van het gezicht, of ze nu onschuldig zijn (bijvoorbeeld acne, lichte zwelling) of niet (bijvoorbeeld botox).
Xiaoming Liu
Anil K. & Nandita K. Jain Endowed Professor; Computer Science and Engineering (CSE), Faculteit der Ingenieurswetenschappen; Michigan State University
Allereerst betekent mijn definitie van “gezichtsherkenning vermijden” dat een gezichtsherkenningssysteem (FRS) het gezicht van een persoon niet herkent wanneer deze persoon door een camera wordt vastgelegd.
Er zijn een paar manieren om een FRS ‘proactief’ te laten mislukken:
1. Fysieke vijandige aanvallen. De meeste AI-modellen zijn kwetsbaar voor vijandige aanvallen, d.w.z. een kleine aanpassing van het invoergegevensmonster kan een AI-systeem volledig laten falen. Hetzelfde geldt voor FRS. De sleutel hier is om een specifieke “kleine aanpassing” te leren, zodat een dergelijke aanpassing FRS kan laten falen. CMU heeft bijvoorbeeld een paper over het ontwerpen van speciale brillen die een FRS kunnen laten falen. Je zou je kunnen voorstellen dat iemand een soortgelijk idee kan volgen om een sjaal, gezichtsmasker of zelfs snor te ontwerpen die ook FRS kan laten falen
2. Je kunt ook proactief je gezichtsuitdrukking veranderen, zodat FRS je herkent als iemand anders. Een gebruikelijke manier is om make-up aan te brengen. Het is echter lastig om de vraag te beantwoorden, namelijk waar en hoeveel make-up ik moet aanbrengen, zodat ik gewoon kan zakken voor FRS. Het antwoord is erg afhankelijk van het onderwerp.
De reden is dat het gezichtsuiterlijk van sommige personen algemener is en meer lijkt op dat van anderen, dus een relatief kleine make-upaanpassing kan voldoende zijn om hem verkeerd te herkennen als iemand anders. Als het gezichtsuiterlijk van één persoon daarentegen heel uniek is, dan is er veel meer make-upaanpassing nodig.
Een interessante toepassing zou de volgende kunnen zijn: een interactieve smartphone-app kijkt naar mijn gezicht via de camera van de telefoon, vertelt me waar ik moet beginnen met het aanbrengen van make-up en geeft me iteratief instructies over waar en misschien welke kleur make-up, zodat ik verkeerd herkend kan worden door FRS met minimale make-up. Naast make-up kun je ook een duur gezichtsmasker gebruiken, wat misschien wel vaker voorkomt in Hollywoodfilms.
Zoals u kunt zien, is de kans op het succesvol mislukken van FRS op de een of andere manier gecorreleerd met de hoeveelheid moeite die het onderwerp doet. Benadering 1 is gemakkelijker voor de gebruikers, maar niet erg betrouwbaar, vooral niet als men graag een “universele” vijandige aanval ontwerpt, zoals één bril voor iedereen. Benadering 2 is persoonlijker en werkt beter, maar vereist meer moeite.
Kevin W. Bowyer
Schubmehl-Prein Familie Professor Computerwetenschappen & Engineering; Universiteit van Notre Dame
Het antwoord is: “het hangt ervan af.” Het hangt (op zijn minst) af van het gebruikte gezichtsherkenningsalgoritme en de drempelwaarde die met dat algoritme wordt gebruikt.
Om het beter te begrijpen, moet u beginnen met het feit dat gezichtsherkenning draait om het vergelijken van twee afbeeldingen en het bepalen of de gezichten op de afbeeldingen (a) genoeg op elkaar lijken dat ze van dezelfde persoon moeten zijn, of (b) genoeg van elkaar verschillen dat ze van verschillende personen afkomstig moeten zijn.
Elk gezichtsherkenningsalgoritme is een specifieke methode om een ”feature vector” (tegenwoordig meestal een “embedding” genoemd) te berekenen van een afbeelding van een gezicht, en een methode om twee feature vectors te vergelijken om een waarde te geven voor hoe vergelijkbaar ze zijn. Een enkele gezichtsafbeelding kan worden gereduceerd tot een lijst met 512 getallen (de “feature vector” of “embedding”).
De feature vectors van twee gezichtsafbeeldingen kunnen worden vergeleken en een gelijkenisresultaat opleveren tussen 0 en 100, of tussen -1 en +1. De 100 of de +1 zou alleen het resultaat zijn als u twee exemplaren van dezelfde afbeelding zou vergelijken; het zou een ongebruikelijk resultaat zijn om in de praktijk te zien.
Stel je voor dat we een state-of-the-art gezichtsherkenningsalgoritme gebruiken en een gelijkeniswaarde gebruiken die in het bereik van -1 tot +1 valt. De gelijkeniswaarden voor vergelijkingen tussen allerlei paren afbeeldingen van verschillende mensen kunnen rond 0,0 liggen of net iets daarboven. De gelijkeniswaarden voor vergelijkingen tussen allerlei paren afbeeldingen van dezelfde persoon kunnen rond 0,8 liggen of net iets daarboven.
Als de beeldacquisitie voor de toepassing goed wordt gecontroleerd, bijvoorbeeld zoals een foto van een rijbewijs, dan zal de gemiddelde gelijkeniswaarde voor twee afbeeldingen van dezelfde persoon hoger zijn. Als de beeldacquisitie minder goed wordt gecontroleerd, bijvoorbeeld zoals afbeeldingen die zijn gemaakt van videoframes terwijl mensen een winkel binnenkomen, dan zal de gemiddelde gelijkeniswaarde voor twee afbeeldingen van dezelfde persoon lager zijn.
Iemand zal een drempelwaarde bepalen die gebruikt moet worden voor herkenning. Als de waarde 0,7 is geselecteerd als drempelwaarde, dan zegt het systeem dat wanneer twee afbeeldingen worden vergeleken en hun gelijkenis lager is dan 0,7, het afbeeldingen van verschillende personen moeten zijn. Als de waarde gelijk is aan of hoger is dan 0,7, zegt het systeem dat het afbeeldingen van dezelfde persoon moeten zijn.
Op dit punt kunnen we zien dat de oorspronkelijke vraag, “Hoeveel moet ik mijn uiterlijk veranderen om gezichtsherkenning te vermijden?”, kan worden geherformuleerd tot “Wat zijn de beste dingen die ik kan doen om de gelijkeniswaarde voor mijn nieuwe afbeelding te verlagen wanneer deze wordt vergeleken met mijn oude afbeelding?”
Er zijn veel dingen die je zou kunnen doen. Je zou een donkere zonnebril kunnen opzetten en je kapsel kunnen veranderen en er nog steeds natuurlijk uitzien. Je zou een overdreven gezichtsuitdrukking kunnen maken, maar dat zal er waarschijnlijk niet natuurlijk uitzien. Je zou kunnen vermijden om rechtstreeks in de camera te kijken, zodat de nieuwe foto een verkeerde hoek heeft. Nog drastischer is dat je gewicht kunt aankomen of verliezen. Of je zou cosmetica kunnen gebruiken om “je uiterlijk te veranderen”.
Geen van deze dingen kan garanderen dat je niet op je oude foto zult lijken. Je weet niet per se welke oude foto van jou zal worden gebruikt om te vergelijken met je nieuwe foto, of welk algoritme zal worden gebruikt, of welke drempel zal worden gebruikt. Als je al die dingen zou weten, zou je kunnen experimenteren met de meest effectieve aanpak.