0
0
Os atacantes podem criar uma máscara facial que derroteia os sistemas modernos de reconhecimento facial (FR)? Um grupo de pesquisadores da Universidade Ben-Gurion do Negev e da Universidade de Tel Aviv provaram que isso pode ser feito.
“Nós validamos a eficácia da nossa máscara adversarial em experimentos do mundo real (caso de uso da CCTV) imprimindo o padrão adversário em uma máscara facial de tecido. Nesses experimentos, o sistema FR só conseguiu identificar 3,34% dos participantes usando a máscara (em comparação com um mínimo de 83,34% com outras máscaras avaliadas)”, observaram.
Uma máscara que funciona contra muitos modelos de reconhecimento facial
A pandemia de COVID-19 tornou o uso de máscaras faciais uma prática habitual e inicialmente dificultou muitos sistemas de reconhecimento facial em uso em todo o mundo. Com o tempo, no entanto, a tecnologia evoluiu e se adaptou para identificar com precisão os indivíduos que usam máscaras médicas e outras.
Mas, como aprendemos uma e outra vez, se houver um incentivo bom o suficiente, os adversários sempre encontrarão novas maneiras de alcançar o objetivo pretendido.
Neste caso em particular, os pesquisadores assumiram o papel adversário e decidiram descobrir se poderiam criar um padrão/máscara específico que funcionasse em relação aos modelos modernos de FR baseados em aprendizagem profunda.
Sua tentativa foi bem-sucedida: eles usaram um processo de otimização baseado em gradiente para criar uma perturbação universal (e máscara) que classificaria falsamente cada usuário – não importa se macho ou mulher – como uma identidade desconhecida, e o fariam mesmo quando confrontados com diferentes modelos FR.
Esta máscara funciona como pretendido quando impressa em papel e/ou tecido. Mas, ainda mais importante, a máscara não levantará suspeitas em nosso mundo pós-Covid e pode ser facilmente removida quando o adversário precisar se misturar em cenários do mundo real.
Possíveis contramedidas
Embora a máscara deles funcione bem, a deles não é a única “versão” possível.
“O principal objetivo de uma perturbação universal é se adequar a qualquer pessoa que a use, ou seja, há um único padrão. Dito isto, a perturbação depende do modelo FR que foi usado para atacar, o que significa que diferentes padrões serão criados dependendo dos diferentes modelos de vítimas”, disse Alon Zolfi, o estudante de doutorado que liderou a pesquisa, à Help Net Security.
Se a randomização for adicionada ao processo, os padrões resultantes também podem ser ligeiramente diferentes.
“Máscaras feitas sob medida (paradas para uma única pessoa) também podem ser criadas e resultar em diferentes padrões adversários para ampliar a diversidade”, observou ele.
Os modelos de reconhecimento facial podem ser treinados para reconhecer pessoas usando suas máscaras contraditórias e similares, apontaram os pesquisadores. Alternativamente, durante a fase de inferência, todas as imagens faciais mascaradas podem ser pré-processadas para que pareça que a pessoa está usando uma máscara padrão (por exemplo, máscara cirúrgica azul), porque os modelos FR atuais funcionam bem com eles.
No momento, os sistemas FR dependem de toda a área facial para responder a uma pergunta se dois rostos são da mesma pessoa, e Zolfi acredita que existem três soluções para fazê-los “ver através” uma imagem de rosto mascarado.
O primeiro é o aprendizado contraditório, ou seja, treinar modelos de FR com imagens faciais que contenham padrões contraditórios (universales ou personalizados).
O segundo é treinar modelos de FR para fazer uma previsão baseada apenas na área superior da face – mas essa abordagem demonstrou degradar o desempenho dos modelos mesmo em imagens faciais desmascaradas e atualmente é insatisfatória, observou ele.
Em terceiro lugar, os modelos FR podem ser treinados para gerar área facial inferior com base na área facial superior.
“Há uma linha de trabalho popular chamada rede adversarial generativa (GAN) que é usada para gerar o que pensamos como ‘entradas’ (neste caso, dada alguma entrada, queremos que ela produza uma imagem da área facial inferior). Esta é uma abordagem “pesada” porque requer arquiteturas de modelo completamente diferentes, procedimentos de treinamento e recursos físicos maiores durante a inferência”, concluiu ele.
FONTE: HELPNET SECURITY