业界 | 马赛克已被人工智能征服，再也遮不住脸了

选自Wired

机器之心编译

作者：LILY HAY NEWMAN

参与：Cindy、杜夏德、李亚洲

马赛克已经成为人们用来遮盖那些视觉媒体中私密部分的常用工具。新闻、编辑文档、网页上常常会出现模模糊糊的文字、人脸、以及证件牌照。这个技术并不复杂，但已经足够使用了，因为人们看不出或读不懂经过扭曲的内容。然而，问题是人们不再是仅有的图象识别大师。随着计算机视觉越来越强大，它开始能看到那些我们看不到的东西。

来自德克萨斯大学奥斯汀分校 (University of Texas at Austin) 和康奈尔理工学院（Cornell Tech）的研究人员说，他们已经训练了一个软件，这个软件可以通过学习阅读和观看图象中隐藏的内容来暗中破坏如模糊或马赛克这类标准内容遮盖技术下的隐私利益，如从模糊的门牌号码到一张有背景中的打了马赛克的人脸。他们甚至不需要煞费苦心地开发延伸新的图片显像（image uncloaking）方法。团队人员发现主流的机器学习方法，就是通过一组样本数据来「训练」计算机，而不是编程，可以轻而易举地实现这个解码模糊图像的技术。

「我们在这篇论文中用到的技术是非常标准的图像识别技术，」论文的作者之一，来自 Cornell Tech 的 Vitaly Shmstikov 说道。由于这项研究中采用的机器学习方法已经广为人知，网上的教程和培训手册中都有，Shmatikov 说一个了解最基础的技术知识的人就可以实行这些类型的攻击。而且，目前已经有了更强大的物体和人脸识别技术，这些技术在破解视觉编辑方法上更有潜力。

来自四个数据库的图象。最左边的是原图，后面的四列图像中马赛克越来越多，最后三列用 P3 展示了三个等级的遮蔽效果。图片越模糊，机器学习软件识别出潜在图象的成功率越低。但是在研究人员的大部分试验中，识别模糊文字或图像的效率依旧可以达到 50%。

这些研究人员可以击破三种隐私保护技术，最简单的是 YouTube 的专有模糊工具。YouTube 允许上传者在视频中模糊他们想要掩盖对象或数据，但是这个团队可以用他们的破解技术来确认视频中的人脸的。另一个例子是，研究人员破解了像素化技术，（又称图像拼接，马赛克）。为了产生不同像素等级的图像，他们采用了自己部署的标准马赛克技术。研究人员说这些技术可以在 Photoshop 和其它常见的软件中找到。最后，他们破解了一个名为隐私保护照片分享（Privacy Preserving Photo Sharing 或 P3）的工具，这个工具可以在 JPEG 照片中加密标识数据，使人眼看不到整体的图象，但同时保证其它数据要素（data components）清晰，让计算机依旧能处理文档，比如压缩。

为了要执行破解，团队通过给神经网络输入用于分析的四大知名图像数的据集来让它们进行图像识别。输入的单词、人脸、或者物体越多，神经网络就可更好的锁定目标。一旦神经网络确认训练集内的相关对象的精确度达到接近 90% 或者更高，研究人员就会通过三种隐私工具混淆图象，然后进一步训练他们的神经网络在原始图像的知识的基础之上识别马赛克或者模糊的图像。

最后，他们使用那些还未以任何一种形式暴露给神经网络模糊的测试图像来看看图片识别是否可以识别出人脸、物体、和手写数字。对一些数据集和遮蔽技术来说，神经网络识别的成功率越过 80%，甚至 90%。在马赛克的案例中，越是模糊的图片，成功率就越低。但是他们去除模糊的机器学习软件的准确率总是位于 50% 到 75% 之间。最低的成功率是 17%，使用的数据集是用 P3 编校系统模糊处理过的明星脸孔数据集。然而如果用计算机随机地识别人脸、图形、和数字，研究人员计算出每一组测式的成功率最多是 10%，至少是 5%，这意味着尽管识别的成功率相对地比较低，但依旧比单纯的猜测要准确。

加利福尼亚大学 圣地亚哥 分校（University of California, San Diego) 的 Lawrence Saul 说，尽管这个团队的机器学习方法不能总是洞悉图片上编辑的效果，但它依旧代表着像素化和模糊作为一种隐私工具的兴起。「为了窥伺隐私，你不需要在 99.9 的情况下都能进行重建」一个图片或一段文字。「如果 40% 或 50% 的情况下你可以猜出人脸或指出内容是什么，那足够表示这种隐私保护方法该被废弃。」

值得注意的是该研究并不是从头开始做图象重建，不能逆转模糊化得过程，真的重建识别出的人脸或物体的图片。这种技术只能寻找它要找的，不一定是精确的图象，但可能是它以前见过的图片，如特定的对象或以前识别出的人脸。比方说，火车站的 CCTV 模糊地记录了每个过路的人脸，但它却不能识别每一个人。但如果你怀疑在特定时间曾走过的某个人，它就可以在模糊视频的茫茫人海中指出那个人。Saul 提到一个额外的挑战是在从现实场景更广泛的阵列中收集到的模糊图片上测试神经网络，而不是只在已有的更标准化的图像数据集上进行测试。但是基于他们目前的发现，他人为更多的实际应用也是很有可能的。

研究人员更大的目标是提醒隐私和安全社区，发展机器学习作为识别和数据收集的一种工具是不能被忽视的。有多种方式可用来抵制这种攻击，如 Saul 指出的，使用提供全面覆盖的黑盒子，而不是在图像内容后面留下痕迹的图像扭曲方法。最好可以随机切除脸的部分，在覆盖该脸部之前模糊它，这样尽管混淆被攻破了，该人的身份依旧不会暴露。「我希望这篇论文引发的结果是，没有人在没有经过这种分析验证的情况下就宣称他们的隐私技术是安全的。」Shmatikov 说道。目前，用一个丑陋的黑色斑点盖住视频中某人的脸可以没有打马赛克更常见。但防止计算机视觉从这些像素中读取出我们不希望其读出的信息将可能很快变得有必要。

本文由机器之心编译，转载请联系本公众号获得授权。

------------------------------------------------

加入机器之心（全职记者/实习生）：hr@almosthuman.cn

投稿或寻求报道：editor@almosthuman.cn

广告&商务合作：bd@almosthuman.cn