Le immagini pixelate non corrispondono al riconoscimento facciale di Cornell Tech A.I.

Tre ricercatori della Cornell Tech di New York hanno scoperto che le immagini sfocate e pixelate non possono competere con l'intelligenza artificiale. Anche se le immagini oscurate rimangono incomprensibili per gli occhi umani e quindi sembrano proteggere il loro contenuto sensibile, le reti neurali spesso possono dire esattamente chi è chi nell'immagine originale.

In altre parole, gli umani non sono più la cartina di tornasole. Non possiamo più chiedere semplicemente se qualcosa sconfigge tutti i cervelli umani. A.I.s - anche semplice A.I.s - può sovraperformare gli umani, quindi anche sconfiggerli deve sempre far parte dell'equazione.

Lo studio dei ricercatori della Cornell Tech si è concentrato sulla verifica degli algoritmi di conservazione della privacy, che offuscano o pixelano determinate informazioni o parti di immagini. Precedentemente, ci fidavamo di software o algoritmi che preservano la privacy implicitamente, ritenendo che le informazioni che nascondevano fossero sicure perché no umano potrebbe dire chi c'era dietro il velo digitale. Lo studio dimostra che quell'era è finita e che i metodi di anonimizzazione correlati non dureranno a lungo. Le reti neurali, soddisfatte con queste misure sulla privacy, sono imprevedibili.

Richard McPherson è un dottorato di ricerca candidato in scienze informatiche presso l'Università del Texas, Austin, che ha seguito il suo professore, Vitaly Shmatikov, alla Cornell Tech. Insieme, insieme a Reza Shokri, hanno dimostrato che semplici reti neurali potrebbero smascherare le comuni tecniche di offuscamento dell'immagine. La tecnica è relativamente poco sofisticata, il che rende la scoperta più inquietante: si tratta di metodi comuni e accessibili, che sono stati in grado di sconfiggere le norme del settore per l'offuscamento.

Le reti neurali sono grandi strutture a strati di nodi o neuroni artificiali che imitano la struttura di base del cervello. Sono "basati su una comprensione semplificata di come funzionano i neuroni", dice McPherson Inverso. "Dagli qualche input, e il neurone spara o non spara".

Sono anche in grado di "apprendere", con una definizione approssimativa del termine. Se mostri un essere umano (completamente non istruito) "rosso" e dì loro di scegliere tutte le cose "rosse" da un secchio, all'inizio faranno fatica, ma miglioreranno nel tempo. Così anche con le reti neurali. L'apprendimento automatico significa semplicemente insegnare a un computer a scegliere le cose "rosse", ad esempio, da un secchio virtuale di cose variegate.

È così che la McPherson e la compagnia hanno formato la loro rete neurale. "Nel nostro sistema, creiamo un modello - un'architettura di reti neurali, un insieme strutturato di questi neuroni artificiali - e quindi diamo loro una grande quantità di immagini offuscate", dice. "Ad esempio, potremmo dare loro un centinaio di immagini diverse di Carol che sono state pixelate, quindi un centinaio di diverse immagini di Bob che sono state pixelate".

I ricercatori etichettano quindi queste immagini pixel, e così facendo dicono al modello chi c'è in ogni immagine. Dopo aver elaborato questo set di dati, la rete sa come funziona Pixelated Bob e Pixelated Carol. "Possiamo quindi dargli una diversa immagine pixelata di Bob o Carol, senza l'etichetta", spiega la McPherson, "e può indovinare e dire, 'Penso che questo sia Bob con un'accuratezza del 95%.'"

Il modello non ricostruisce l'immagine offuscata, ma il fatto che sia in grado di sconfiggere i metodi di anonimizzazione più comuni e precedentemente più affidabili è sconcertante di per sé. "Sono in grado di capire cosa viene offuscato, ma non sanno come è stato originariamente", dice la McPherson.

Ma le reti neurali sono ancora in grado di fare molto meglio degli umani. Quando le immagini erano più offuscate utilizzando una tecnica standard del settore, il sistema era ancora accurato oltre il 50%. Per immagini leggermente meno offuscate, il sistema si è dimostrato notevole, con una precisione di circa il 70%. La norma di YouTube per i volti sfocati è completamente fallita; anche le immagini più sfocate sono state battute dalla rete neurale, che ha dimostrato una precisione del 96%.

Altre tecniche di anonimizzazione dei dati, del testo e dell'immagine precedentemente non verificate sono altrettanto inaffidabili. "C'è stata un'opera durante l'estate che ha analizzato il testo anonimo usando pixelazione e sfocatura, e ha dimostrato che erano in grado di essere violati", dice la McPherson. E altri metodi attendibili potrebbero essere sulla loro strada. Sebbene non conosca le tecniche di offuscamento vocale, come quelle usate per le interviste televisive anonime, "non sarebbe sorpreso" se le reti neurali potrebbero rompere l'anonimizzazione.

La scoperta di McPherson, quindi, dimostra che "i metodi di conservazione della privacy che avevamo in passato non sono davvero all'altezza, specialmente con le moderne tecniche di machine learning". In altre parole, ci stiamo codificando nell'irrilevanza, le macchine di addestramento superarci in tutti i reami.

"Man mano che il potere dell'apprendimento automatico cresce, questo compromesso cambierà a favore degli avversari", hanno scritto i ricercatori.