Один із простих способів зберегти анонімність – це розмивати у фоторедакторі обличчя, номери, назви вулиць тощо. Але цей метод виявляється безсилим проти сучасних алгоритмів. Учені Університету Техасу та Університету Корнелла кажуть, що технології машинного навчання легко відгадують за розмитими пікселями реальні дані.
Науковці показали, що розмиття чутливих даних на фото не дозволяє побачити інформацію лише людям – вони вгадують пікселізоване обличчя з ймовірністю 0,19%. Водночас програмний алгоритм для стандартного в індустрії набору даних має точність 71% для єдиної спроби та підвищує свої показники до 83%, якщо дати програмі вгадувати п’ять разів. При цьому алгоритм не прибирає розмиття на фото – він вгадує те, що за ним ховається.
Учені також спробували використати свою технологію в реальній атаці – розпізнати людей, обличчя яких розмито в роликах YouTube. Спершу вони взяли базу фотографій людей та розмили на них обличчя інструментами YouTube. Це дозволило натренувати систему машинного навчання на основі глибокої нейронної мережі. Після цього алгоритм впізнавав людей з розмитими обличчями з точністю 57% при однократній обробці та з 85% точністю, якщо машина робила п’ять спроб.
«Це досить простий механізм, – каже один з дослідників Річард МакФерсон. – Єдине дійсне обмеження – це мати набір даних, на яких можна тренувати машинне навчання. Але це можна вирішити».