想象你注冊了一個約會網站，上傳了照片，沒放太多的資料，避免不必要的隐私洩露。結果有無聊的人用你的照片去進行反向搜索，找到了你的全名、工作單位、教育經曆，其它平台的賬号等等……有了這些信息，他開始跟蹤你，非常 creepy。

這并非你的錯，但有什麼自己能做的，可以避免類似的情況出現呢？

一家名叫 DoNotPay 的公司，最近推出了一項人臉反識别服務，叫做 Photo Ninja：在照片中肉眼不可察覺的地方進行像素級的修改，從而破壞掉人臉識别系統賴以工作的那些關鍵特征。最終的結果圖片，就連 Google 這樣的主流搜索引擎的圖片搜索功能，都認不出來。

比如下面這張美國總統拜登的官方照片，一是做了鏡像處理（左右對調），還在人臉上進行了更多微弱的處理。最終結果成功騙過了 Google，讓它完全搜不出來圖中人是誰，甚至找不到類似的照片結果。

原圖：

2015年，谷歌的AI研究員開發了一種全新的技術，能夠在計算機視覺的算法層面對其進行“攻擊”。

以物體為例，識别算法的工作方法，就是從非常細微的像素層面提取特征，總結出規律，才能識别物體。而如下圖所示，隻要在像素層面加入非常微弱的“噪點”，就能夠達到攻擊效果，導緻神經網絡輸出完全不同的，錯誤的結果……

這種技術名為對抗機器學習(adversarial machine learning)，可以用于圖像/物體和語音。今天我們介紹的 Photo Ninja，就是對抗機器學習的一種應用。

對抗機器學習概念的提出已經有相當長一段時間了，但随着技術的進步，在近幾年的發展速度明顯變快。剛才提到谷歌提出的攻擊方式，在2015年成功擊破了 GoogLeNet，而 GoogLeNet 前一年剛剛拿下 ImageNet 挑戰賽的冠軍……

技術沒有好壞，但用技術的人有善惡之分。對抗機器學習也是一樣，如果到了壞人手中，它可能會引發嚴重的後果。比如，壞人可以到馬路上，“破壞” stop sign 等重要的交通指示牌，雖然不會影響到普通車輛和人類司機，但有可能嚴重幹預自動駕駛系統的正常工作，導緻交通事故的發生。

當然，至少在 Photo Ninja 案例中，對抗機器學習技術并沒有被濫用。

矽星人的讀者可能還記得我們之前寫過 DoNotPay 這家公司。作為“Compound Startup”的代表，DoNotPay 隻有一個手機app，卻包含了上百種服務，主要都是幫用戶省錢的，比如自動申訴交通罰單、切斷自動續費服務、起訴電信詐騙、快速生成一次性信用卡、自動撰寫各種法律文書等——堪稱一個“掌上維權大師”app，資費隻有$3/月。

至于 Photo Ninja，該公司宣稱，在面對亞馬遜、微軟、谷歌等主流公司開發的相關人臉識别系統時，這項照片反識别技術都能夠取得大約99%的成功率。

當然，Photo Ninja 也并非沒有勢均力敵的對手。Clearview AI 是一家專注監控市場的 AI 公司，跟全美上千家執法部門都有合作。DoNotPay 的 CEO Joshua Browder 表示，Photo Ninja 沒法保證能夠騙過 Clearview AI 的技術。

這可能是由于，Clearview AI 早就從互聯網的公開渠道抓取保存了超過30億張的人臉照片，數據量之大，甚至超過美國政府和其它矽谷大公司的程度（該公司也因此飽受輿論争議。）

随着對抗機器學習技術的推進，攻擊和防禦的手段也都在進步。不排除有可能，該公司已經對照片進行過修改測試，開展過對抗攻擊演練，然後進一步調整自己的識别算法——真是魔高一尺道高一丈啊！

去年，Clearview AI 自曝數據庫被入侵，包含600多家客戶的名單洩露。人們擔心，擁有如此海量數據的一家監控公司，如果下一次整個圖片數據庫也失守，結果隻會更加嚴重。

回到文章開頭所提出的那個情況。确實，這個年代想要安全地網上沖浪，簡直有太多需要顧慮的東西了。那麼，怎樣才能繼續發自拍，但又不用擔心被不懷好意者嗅探隐私呢？以及，如果把範疇擴大到現實生活中，攝像頭已經無處不在，還有什麼辦法，可以讓我們至少在需要的時候，不被人臉識别系統抓到，保留最後的那一份隐私呢？

所幸，還有很多方法能夠幫助我們避開人臉/圖像識别系統，從軟件/硬件思路出發的都有，而且成本并不算高。

去年，矽星人也有一篇文章簡要介紹過幾種能夠讓你在人臉識别系統裡“隐形”的手段。今天，我們也可以分享更多的類似技術。

“假臉” HyperFace

2017年聖丹斯電影展上，一群女性開發者展示了一款能夠騙過人臉識别系統的圍巾。當然，圍巾隻是一個用于展示技術的原型産品，我們今天僅僅介紹這項技術。

在人臉識别算法“看來”，是有一種最理想化的人臉表達樣式存在的（大概和下圖差不多）：

而如果把這種樣式變成圖案，印制在圍巾、帽子、上衣上，人臉識别系統就會過于關注這些圖案，反而避開真實的人臉。如下面這張熱力/顯着圖顯示，高亮的區域是人臉識别系統最為關注的地方。

也就是說，HyperFace 的工作方式，是把人臉識别系統的注意力“帶偏”。

不過，僅就上面這個圖案來說，它的有效性已經不是很高了，因為這個圖案針對的是 OpenCV，而更新的人臉識别技術會采用卷積神經網絡等更加複雜的算法，對應的圖案也不一樣，而且就算圖案做出來了，效果也無法被保證。開發團隊成員 Adam Harvey 也在項目網站上澄清，HyperFace 的原型圖案已經過時。

但是，HyperFace 背後的技術思路還是行得通的。如果感興趣的話，你可以自己找一些類似的圖案，印在圍巾上衣甚至口罩上試一試（畢竟疫情過後，一些人臉識别系統已經可以僅靠眼部露出的特征完成識别，口罩已經不能騙過它們了，甚至帶着口罩都能解鎖 iPhone。）

“變臉” URME Surveillance

很多人應該都看過吳宇森的《變臉》，劇情中 FBI 探員為了打入犯罪團夥内部，自願和恐怖分子換臉，結果恐怖分子清醒後又搶走了探員的臉……

這樣的劇情在現實中不太可能出現。不過，一位藝術家 Leonardo Selvaggio 願意把他的臉借給你，讓你每天以他的身份招搖過市，讓他來替代你承擔隐私洩露的風險……

Selvaggio 對自己的臉進行了高精度掃描，然後生産出超高還原度的面罩，放到網上銷售，價格$200。他把這個項目稱為 URME（你就是我）

很遺憾，生産面罩的公司 ThatsMyFace 後來破産了，Selvaggio 還沒有找到替代的生産商。不過與此同時，用戶也可以下載臉圖的平面版，自己打印出來戴上，隻是看起來很假而已……

所以本質上講，URME 并沒有對人臉識别系統帶來什麼根本性的打擊，隻是用一個假身份去替代佩戴者的真實身份而已。

當然了，甭管黑貓白貓，能抓老鼠就是好貓……

紅外光

前面我們提到，破壞掉人臉識别系統追蹤的特征，就可以讓這類系統失靈。和 Photo Ninja 低調的操作相比，紅外光在破壞特征方面更加簡單和暴力。

1）2018年，複旦、港中文、印第安納大學和阿裡巴巴共同發表了一項研究，在帽子上加裝紅外 LED，對着人臉，不僅能夠騙過人臉識别系統——如果對 LED 燈的照明位置、方向進行細微的調整，從而扭曲佩戴者的面部特征，甚至還能讓人臉識别系統以為佩戴者是其他人，如下圖：

2）日本國立情報學研究所的一位教授，做了一個更加直接方案，把紅外 LED 等直接放到眼鏡上。LED 開啟，人臉識别算法就無法将正确的區域識别為人臉了：

3）考慮到很多監控攝像頭本身就在使用紅外光進行照明，那麼直接把眼鏡的框架和鏡片加入紅外反射材料，會産生一個巨大的光斑，也能夠達到反監控的效果。

Phantom 就是這樣一款眼鏡，由美國人 Scott Urban 制作并在 Kickstarter 上發布，售價$148，去年10月底已經發貨。當你帶着這副眼鏡，其它人看到的你還是正常的樣子：

然而在紅外攝像頭拍到的畫面中，你看起來像神一樣：

“魔性”貼紙

三位比利時科學家曾經做過一個有趣的實驗：隻是在身上加了一塊怪異的貼圖，在計算機的眼裡，人就不再是人了：

這個方法同樣利用了本文前面提到的對抗機器學習，隻是效果更肉眼可見而已。或者換一種說法：這個方法更好地解釋了基于圖片的對抗攻擊方式的工作原理。出于某些原因，這些貼圖會破壞了人形的特征，讓識别系統無法正常工作。

理論上，我們可以專門生産帶有這類貼圖印花的服裝，穿上它走到監控攝像頭面前，其實就跟隐形了一樣……

綜上所述，想要騙過人臉識别系統和無處不在的監控攝像頭，還是有很多種途徑的。隻是，随着監控技術的不斷進步和大規模推廣，無論是在網上還是在現實中，想要完全保持”匿名“隻會變得越來越難。

而就像本文一開始提的那個例子，在這樣的環境中，那些監控技術濫用的受害者，并不一定是這些系統想要打擊的壞人，反而更有可能是無辜者。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!