2024.12.14 09:00

改變容貌就能騙過 AI嗎?口罩、眼鏡擋不住!臉部辨識無所不在,我們如何保護自己的生物特徵?

ADVERTISEMENT

我們的生物辨識數據對於任何擁有 AI 模型和攝影機的人來說幾乎是隨手可得的。臉部辨識技術如今已經無所不在,無論是通過機場安檢還是走進藥妝店,我們的數據都可能會被收集。因此,讓人不禁好奇是否有可能隱藏自己的臉部特徵,甚至極端到改變外貌以欺騙 AI 演算法。

那麼,只戴上 N95 口罩、圍巾和墨鏡是否能避開「老大哥」的監視呢?目前,避開臉部辨識最好的方法就是避開攝影機。但這項任務可能很快就會變得幾乎不可能。隱私專家警告,我們在保護生物辨識數據的戰役中可能已經處於劣勢。未來,唯一真正有效的防禦可能只有聯邦法規。

辛西亞·魯丁 (Cynthia Rudin)

杜克大學電腦科學、電機與計算工程、統計科學、數學及生物統計與生物資訊學系吉爾伯特、路易斯和愛德華·雷曼傑出教授

ADVERTISEMENT

我認為,現實中幾乎不可能改變自己的臉以躲避最先進的臉部辨識技術。在疫情期間,許多系統已經調整為高度依賴人們的眼睛形狀,因為許多人戴著遮住鼻子和嘴巴的口罩。老實說,我不認為人們能夠實際改變自己的眼睛形狀來欺騙這些系統。如果你戴上墨鏡,然後對臉部做些處理(比如戴面具或使用極為誇張的化妝),確實會讓臉部辨識變得困難,但這算是在作弊——這並不是改變臉部,而是隱藏它!

但假設你真的進行了非常激進的改變,比如某種大規模的整形手術,使臉部辨識系統無法辨識你的臉。那麼接下來呢?一旦你的新臉出現在網路上(比如朋友在社群媒體上標註你,或你在網路上發表演講),所有尋找網路上個人資訊的臉部辨識系統仍然可以辨識你。

而且,你的新臉也會與你的駕照或護照不符,這會讓你的旅行變得非常困難。所以,老實說,為什麼要費這麼大的功夫呢?無論如何,我很高興你提出這個問題,因為它展現了避免他人收集我們生物辨識數據的徒勞。要求政府制定保護我們的法律,比不停地改變臉部外貌要簡單得多。

沃爾特·施瑞爾 (Walter Scheirer)

聖母大學電腦科學與工程系丹尼斯·道蒂傑出教授

要回答「需要改變多少外貌才能避開臉部辨識」這個問題,需視臉部辨識演算法的使用方式而定。在人類生物辨識中,有兩種常見的身份匹配模式:1 對 1 和 1 對多。

在 1 對 1 模式中,系統會驗證攝像頭前的人的身份是否與數據庫中預先登記的照片相符。這種情境常見於高安全性的電腦認證、執法調查,如今在機場登機等消費者場景中也越來越普遍。在 1 對多模式中,系統會將未知對象的照片與數據庫中的一組已登記身份進行比對。這種模式常用於視訊監控,例如執法機構和政府情報活動。

在受控環境(例如警局拘留室)中要躲避 1 對 1 模式非常困難。透過神經網路的重大突破,臉部辨識演算法在不同外貌條件下也能取得極高的匹配準確度。如果照片是正面拍攝,光線充足、背景簡單,基本的躲避技術(如化妝、改變髮型或增加/刮除鬍子)幾乎無效。最近的研究顯示,整形手術對臉部辨識的影響有限,除非進行非常不美觀的大幅度改變;而一般的美容手術影響則更小。

在未受控的監控環境中,躲避 1 對多模式相對容易些,不需要整形手術。即使是最先進的神經網路在處理畫質差、像素資訊不足的人臉照片時仍存在困難,特別是當比對對象數量龐大時。因此,第一步是遮擋臉部。在不引起懷疑的情況下(例如冬天圍圍巾、晴天戴墨鏡)遮擋臉部很有效。寬帽沿的帽子也能遮擋額頭和頭髮,並在臉上投下陰影。移動時低頭,也可以避免攝影機拍攝到良好的正面人臉影像。最後,快速移動如慢跑或騎車,可能因為動態模糊使得照片難以清晰。

我對逃避的最佳實用建議是:了解臉部辨識的部署位置,並避開那些區域。然而,這項建議能夠持續有效的時間,取決於未來幾年技術的普及程度。

當今的演算法對臉部外貌的微妙變化容忍度較高,無論是自然的(例如青春痘、輕微腫脹),還是非自然的(例如肉毒桿菌注射)。

劉曉明(Xiaoming Liu)

Anil K. & Nandita K. Jain 特聘教授;密西根州立大學工程學院計算機科學與工程(CSE)系

首先,我對「避免臉部辨識」的定義是指當一個人的臉被相機捕捉到時,臉部辨識系統(FRS)無法辨認出該個人的臉。

有幾種方法可以「主動」使 FRS 失敗:

  1. 實體對抗性攻擊(Physical adversarial attacks):大多數 AI 模型都容易受到對抗性攻擊,也就是說,對輸入數據樣本進行輕微的修改可能會讓 AI 系統完全失效。同樣的原理適用於臉部辨識系統。關鍵在於學習某種特定的「輕微修改」,以讓這種修改能讓臉部辨識系統失敗。例如,卡內基美隆大學(CMU)有篇論文設計了一種特殊眼鏡,可以讓臉部辨識系統辨識失敗。可以想像,有人可以用類似的方式設計圍巾、面罩,甚至假鬍子來干擾臉部辨識系統。

  2. 主動改變臉部外貌:你也可以主動改變自己的臉部外貌,讓臉部辨識系統把你辨識為別人。一種常見的方式是化妝。然而,關於該在什麼位置及施加多少化妝量才能讓臉部辨識系統失敗,這是一個很難回答的問題。答案很大程度上取決於個體。原因是,有些人的臉部特徵較為普通,與其他人相似,因此只需進行相對少量的化妝修改即可讓系統錯誤辨識為他人。相反,如果某人的臉部特徵非常獨特,那就需要進行更多的化妝修改。一個有趣的應用可能是以下情境:一款互動式智慧手機應用透過手機相機觀察我的臉,告訴我該從哪裡開始化妝,並反覆給出指導,告訴我應在哪裡以及可能需要使用什麼顏色的化妝品,進而以最小的化妝量讓臉部辨識系統失敗。除了化妝,還可以使用高成本的臉部面具,這在好萊塢電影中更為常見。

如你所見,成功讓臉部辨識系統失敗的可能性在某種程度上與使用者付出的努力成正比。方法 1 對使用者來說更容易,但不太可靠,尤其是在需要設計一種「通用」的對抗性攻擊(例如適用於所有人的眼鏡)時。而方法 2 更具個性化,效果更好,但需要更多的努力。

凱文·保耶(Kevin W. Bowyer)

Schubmehl-Prein 家族教授;聖母大學計算機科學與工程系

ADVERTISEMENT

答案是:「視情況而定。」至少取決於所使用的臉部比對演算法以及該演算法使用的閾值。

為了更好地理解,我們先從以下事實開始:臉部辨識是透過比對兩張影像,並決定影像中的臉是否(a)足夠相似以至於必須是同一個人,或是(b)不夠相似以至於必須來自不同的人。

每種臉部辨識演算法都有特定的方法來計算「特徵向量」(現在通常稱為「嵌入」)以從臉部影像中提取數據,並比較兩個特徵向量以給出相似度的數值。一張臉部影像可能被壓縮為由 512 個數字組成的列表(即「特徵向量」或「嵌入」)。兩張臉部影像的特徵向量可能會被比較,並產生 0 到 100 之間或 -1 到 +1 之間的相似度結果。100 或 +1 只有在比較同一張影像的兩個副本時才會出現;在實際情況中,這是一個罕見的結果。

假設我們使用的是最先進的臉部辨識演算法,相似度數值範圍在 -1 到 +1 之間。不同人影像配對的相似度值可能集中在 0.0 或稍高的值附近。同一人影像配對的相似度值可能集中在 0.8 或稍高的值附近。如果影像取得環境受到良好控制,例如駕照照片,那麼同一人兩張影像的平均相似度值會更高。如果影像取得環境不太受控,例如人們進入商店時從影片影格中擷取的影像,那麼同一人兩張影像的平均相似度值會較低。

有人會決定用於辨識的閾值。如果選擇 0.7 作為閾值,那麼當兩張影像的比較相似度低於 0.7 時,系統會判定它們必須來自不同的人。如果該值等於或高於 0.7,系統則會判定它們必須是同一個人的影像。

此時,我們可以看到原始問題「我需要改變外貌多少才能避開臉部辨識?」可以重新表述為:「如何最有效地降低新影像與舊影像比較時的相似度值?」

你可以做很多事情。例如,你可以戴上深色太陽眼鏡,改變髮型,並且仍看起來自然。你也可以做一些誇張的表情,但這可能不太自然。你可以避免直視相機,讓新照片成為一張非正面的影像。更激烈的做法是增胖或減重。或者,你可以使用化妝來「改變外貌」。然而,這些方法都無法保證你的新影像不會與舊影像匹配成功。因為你不一定知道將用來與你新照片比較的舊照片是什麼,也不知道將使用什麼演算法或閾值。如果你知道這些條件,你可以嘗試出最有效的方法。

最後,我們可以看到原始問題「我需要改變外貌多少才能避開臉部辨識?」可以重新表述為:「如何最有效地降低新影像與舊影像比較時的相似度值?」

ADVERTISEMENT