Adversarial Man
by
John Seabrook
古语云“大隐隐于市”,这话真有道理:侦探小说里的罪犯,不是常混迹于纽约伦敦东京的茫茫人海中隐藏踪迹吗?
每次去纽约时代广场,看铺天盖地的广告大屏鲜活闪烁,映衬得街头行人成了一个个黑色的剪影背景。周遭红男绿女和漫威英雄们招摇而过,没人给予多一秒关注。
到底是大都市嘛。车水马龙,人来人往,行色匆匆。没人关心旁人是谁,在做什么,从哪儿来,往哪儿去。我想,如果打算做一个社会意义上的“隐身人”,可能没有哪儿比这里更合适。
呃,我的想法好像已经落后于时代了。毕竟现在有遍布大街小巷的监控摄像头。它从不眨眼、永不休息,持续平等地关注着每一张从它眼底下掠过的脸。再高明的罪犯,面对这人工智能的监控网,也插翅难逃。
又闹又脏又乱,但总是生气勃勃的时代广场。
早从20世纪60年代开始,科学家就着手研究如何让计算机识别图像。最开始,他们采取的办法是编写程序描绘物体特征,比如轮廓、形状、颜色和质地,让计算机以此为基础判断它“看”到的东西。
这个办法当然没成功。人脑能忽视光线、阴影和视角的影响,迅速发现事物的本来面貌。电脑可不行,只要周遭环境和物品本身有一点点变化,它就傻眼了。描述永无止境变幻无穷的现实世界,绝对在计算机的能力之外。
直到2010年,计算机识别图像的错误率依然在30%上下,但一场革新也在此时来临。科学家们不再试图编写既定程序,而是塞给人工智能神经网络大量图片,让它不断试错、归纳和自我学习。
从认出圆形和三角形,到归类猫和狗,到分辨人和人不同的面庞。倏忽之间,人工智能图像识别技术已经登上高峰。人类世界一下子充斥着窥探的眼睛,而隐私保护远远跟不上技术的发展。
人工智能用于监控,让罪犯无所遁形,但对大多数人来说,想到自己一直处于“big brother”的注视之下也挺不是滋味。所以,有人开始研究,该如何躲开人工智能的眼睛。
车牌识别是最早得到开发和成熟应用的图像识别技术。不管是高速公路、停车场、商场、学校,哪儿都安装有车牌识别系统。网上有免费且开源的系统软件,任何一个监控摄像头都能用它来识别车牌。
车牌信息不仅被执法机构用来搜寻嫌疑人,私人公司同样在收集并出售这类数据。某家做这门生意的公司储存了20多亿个独立的车牌和位置数据信息。这些数据可以让其他人轻易推理出一个人的住址、上班地点、常去的地方。
Kate Bertash的副业是设计给小朋友穿的布料印花。当她发现车牌识别技术有可能侵犯个人隐私后,便开始设计一些假车牌印花。她做了测试,确保系统没法区分她的印花和真正的车牌。
Kate的这种做法叫“投毒攻击(poison attack)”,也就是用虚假信息污染识别系统,让它不再可靠。当然啦,真想达到这个目的,“投毒”量得非常非常大才行。
Kate设计的车牌印花T恤,车牌识别系统会将其误认为真车牌。
除了“投毒攻击”,另一种糊弄计算机图像识别技术的方法叫“对抗攻击(adversarial attack)”。马里兰大学计算机系副教授Tom Goldstein正在用这个方法,设计让摄像头看不到人的“隐身衣”。
在你我眼里,所谓的隐身衣不过是一件印着奇奇怪怪图案的套头衫。但只要穿上它,就算你笔直站在摄像头面前,图像识别系统也不会发现你的存在。
原来,套头衫上的花纹叫做“对抗图像(adversarial image)”,能让图像识别系统的算法产生错觉。这种现象是在2011年,由谷歌研究室的Christian Szegedy首先发现。
当时,Christian正在研究一个问题:需要改变一副轮船图像的多少部分,才会让人工智能把轮船识别成飞机?他偶然发现,只要在某处做一点小改动,系统就会把轮船判定成飞机,虽然在人眼里看起来,那绝对还是一艘船。
这以后,又有了许多关于对抗图像的研究。比如说,麻省理工学院的一些学生打印了一个3D海龟模型。他们在龟壳上印了某种花纹,人工智能就把海龟看成了来复枪。
2018年,一些研究者在一个红色八角形的停车标志上加了一些小贴花。在人看来,这不过是被画了几笔涂鸦的停车标志,但在人工智能看来,红色八角形的停车标志突然就变成了写着“限速45英里”的黑白色长方形标志。(这让开发自动驾驶技术的公司非常头痛......)
对抗图像很有趣,但直到目前,还没人明白它的原理。Tom设计的隐身衣,上面的图案其实是人工智能自己创造的。
Tom先用一个随机图案遮住照片上人的一部分,然后交给人工智能系统识别。他编写了一个更新图案的算法,确保每次更新都会降低识别的准确度。这个过程重复千百次,隐身图案就出现了。至于为什么这个特定图案会让人工智能犯傻,可能只有它自己才清楚。
Tom设计的隐身衣,穿上它人工智能就看不到你啦。
面部识别技术对隐私的侵犯最为严重。摄像头在不知不觉中捕捉和分析你的脸,从而推测你的年龄、性别、情绪。如果数据库里已经存有你的数据,一切相关信息自然也暴露无遗。
在美国,由于隐私方面的争论,面部识别技术在政府和执法层面使用还不算广泛。但在商业领域,利用这种技术开发的各种应用已经非常成熟。据估计,到2022年,这个领域的市场价值将达到90亿美元。
面部识别技术的商用功能多种多样。赌场用它识别贵宾和老千,超市它识别熟客和小偷。商场可以识别顾客的性别和年龄,知道他们在哪个柜台停留多久,购物历史记录是什么。
在不久的将来,很可能每个人的手机上都会安装面部识别应用。对地铁上坐对面的美女感兴趣?悄悄拍一张她的照片,就能立马通过数据库找到她的信息。
虽然各大社交媒体都号称自己有严格的隐私保护措施,但实际上没人阻止面部识别行业公司从网上收集照片。位于纽约的面部识别技术公司Clearview就从各大社交媒体网站采集了30多亿张个人照片。
现在,大家讨论的话题主要还是政府和大公司利用面部识别系统侵犯个人隐私。或许很快,每个人都会处于一边偷窥别人隐私,一边自己的隐私被别人发掘的境地。
面部识别系统对隐私的侵犯让人无力防范。你可以在上网时选择不存储Cookie记录,或者关掉自己手机的定位系统,但很难让面部识别系统看不到你的脸。
住在柏林的美国艺术家Adam Harvey曾在2015年推出反面部识别妆容。面部识别技术会主动寻找人类脸上的对称性,所以Adam的妆容专门强调不对称性。
但是,Adam现在已经停止了这个项目。他发现,自己创作的任何妆容都会被送给人工智能学习,让其从中弥补算法漏洞。Adam对抗人工智能的创意,最终让人工智能更加强大。
Adam设计的部分妆容,还满酷的。
遮住部分脸部也骗不过面部识别系统,至少戴口罩肯定不行。口罩遮挡的脸部面积有限,一些人工智能算法可以重建被遮挡的部分。中国公司SenseTime就在前不久宣布发明了一种能识别戴口罩面部的算法。
想要逃脱人工智能的眼睛,最有用的办法,可能是像密歇根州立大学教授Anil Jain说的那样,把自己从头到脚笼罩在一层锡箔纸罩袍下。这样做,保证没有监控系统能发现你、认出你。
可荒谬之处在于,当你终于人工智能的眼中隐身,却会在周围人眼中,哪怕在人涌如潮的时代广场上,看起来无比明显,无比突兀。
领取专属 10元无门槛券
私享最新 技术干货