Strojové učení znatelně vylepšilo schopnosti počítačové identifikace tváří. Vědci ale již nalezli metody, jak tyto systémy účinným způsobem oklamat.
V čínské obci Wuzhen už v současnosti nepotřebujete žádné vstupenky pro přístup k pamětihodnostem. Historické sídlo, které se nachází přibližně 120 kilometrů jihozápadně od Šanghaje, si prohlédne kolem pěti tisíc návštěvníků denně. Od poloviny roku 2016 zde testují novou technologii rozpoznávání tváří od čínského internetového gigantu Baidu. Hosté, kteří se zapíšou v místních hotelích, jsou automaticky a diskrétně zaznamenáni videokamerou. Software od Baidu pak ze snímků rozpozná typické znaky obličeje, které potom systém přístupu k památkám identifikuje v reálném čase. Na rozdíl od většiny současných biometrických systémů se zde nevyskytuje obtěžující registrace nebo dlouhé fronty.
Čínský příklad ukazuje, že obor rozpoznávání tváří je nyní na vzestupu. Nejenom Baidu, ale také jeho západní konkurenti Facebook, Google nebo Microsoft do této technologie masivně investují. Americký úřad pro standardizaci (NIST) pravidelně měří výkonnost komerčního softwaru pro rozpoznávání tváří. V jeho nejnovější zprávě se uvádí, že nejlepší algoritmus od společnosti NEC dosáhl úspěšnosti rozpoznání kolem 95 procent. Přesto to není tak jednoduché - když úřad NIST nakrmil software záznamy z webových kamer, procento úspěšného rozpoznání se rapidně propadlo. Běžný software pro rozpoznání tváře vychází z jednotlivých elementů, jako jsou oči, ústa nebo tvar obličeje, a vytváří tak něco na způsob „otisku prstu“. Problém však nastává, pokud se odlišují vnější podmínky, jako je například osvětlení nebo úhel pohledu.
Identifikace zločinců
Výzkumníci se proto už několik let pokoušejí překonat tyto obtíže pomocí strojového učení. Ke slovu se dostávají především neuronové sítě. Systémy se samy učí na velkém množství tréninkových dat. Zjevným úspěchem se stal software Deep Face, který byl představen v roce 2014 výzkumníkem Yanivem Taigmanem a jeho kolegy z výzkumného oddělení Facebooku.
Neuronová síť v tomto případě dosáhla úspěšnosti rozpoznání tváře kolem 97 procent. V červnu roku 2016 pak zúčastnění výzkumníci hrdě oznámili, že jejich software se v této oblasti vyrovná lidským schopnostem. Systém byl testován na databance, která platí za skutečný kritický test pro praktické aplikace - obsahuje fotografie 13 tisíc osob různého věku, v různých pozicích, s různými výrazy tváře a s proměnlivým osvětlením. Do jaké míry je úspěšná analytická síla strojového učení, to ukazuje aktuální práce výzkumníků z univerzity v Šanghaji. Zdejší informatici uvedli software, který odliší tváře zločinců od bezúhonných občanů.
Vědci zásobili systém celkem 1 856 fotografiemi z pasů čínských mužů ve věku mezi 18 a 55 lety. Polovina z toho byli odsouzení pachatelé trestných činů. Neuronová síť se rozhodovala správně: se spolehlivostí 89,5 procenta dokázala určit, kdo je a kdo není zločinec. Rozhodující pro ni přitom byly tři klíčové prvky: rozestup mezi očima, tvar horního rtu a úhel trojúhelníku mezi špičkou nosu a ústy.
Článek, který byl nejprve zveřejněn jenom na internetovém portálu, a nikoli ve vědeckém časopisu, však vyvolal diskuse - mimo jiné se vědcům vytýkalo, že fotografie kriminálníků pocházejí z jiného zdroje než ostatní obrázky. Neuronová síť by tak mohla celkem jednoduše rozpoznat rozdílný původ obrazů.
Asiat, nebo Arab?
Příklad se záměnou tváře herečky Milly Jovovich (viz rámeček nahoře) ukazuje, jaké nebezpečí se skrývá v přílišné důvěře v automaticky se učící systémy. Jejich silná stránka - samostatně se naučit rozlišovacím kritériím - může být stejně tak považována za jejich největší slabinu. Například v roce 2014 výzkumník Googlu Christian Szegedy poprvé poukázal na to, že hlubinné neuronové sítě se dají snadno zmást, pokud se na správném místě snímků změní některé pixely. Vědecká komunita zatím takové útoky považovala spíše za neškodnou hru. Systémům pro identifikaci tváří dosud nikdo nepodsunul cíleně zmanipulovaný obraz. Kdo nechtěl být identifikován, jednoduše tomu zamezil díky použitému oblečení nebo masce.
Útoky na „black box“
Odborník na biometrii z Fraunhoferova institutu Alexander Nouak se domnívá, že práce výzkumníků Carnegie-Mellonovy univerzity dělá značný dojem. Přemýšlí však také nad tím, že výsledek při identifikaci hodně závisí na velikosti použité databanky se snímky tváří. Čím menší je kolekce obrazů, z nichž se software při rozpoznávání učí, tím horších výsledků dosahuje. Sharif a jeho kolegové také přesně věděli, jak pracuje rozpoznávání obličejů, které dokázali překonat. Takové útoky typu „white box“ jsou mnohem jednodušší než útok na zcela neznámý „black box“.
I takový útok je však možný. Ukázala to práce Nicolase Papernota z pensylvánské State University a Iana Goodfellowa z neziskové organizace Open-AI - podařilo se jim poplést hlubinnou neuronovou síť MetaMind. Síť je cvičena na tom, jak u zákazníků obchodu rozpoznat určité nápadné znaky. Umělá inteligence je dostupná on-line, ale nikdo z vnějšku netuší, s jakými algoritmy pracuje. Výzkumníkům se přesto podařilo naprogramovat útočný software, který zmátl program tak, že při rozpoznání ručně psaných čísel namísto čísla pět identifikoval šestku nebo zaměnil písmeno X za U.
Ian Goodfellow je v tomto ohledu spíše pesimista: „Všechno negativní, co lze se strojovým učením provést, se již dnes dá udělat,“ uvedl v roce 2016 na bezpečnostní konferenci v Barceloně. „Bránit se těmto útokům je velmi, velmi obtížné.“
Oklamaný systém
V říjnu 2016 vědec Mahmood Sharif z Carnegie-Mellonovy univerzity poprvé v praxi otestoval nové možnosti zmatení. Na konferenci o IT bezpečnosti ve Vídni prezentoval metodu, jak cíleně obelstít systémy pro rozpoznávání tváří. Sharif a jeho kolegové vyvinuli software, který vytváří pestré barevné vzorce pro obroučky brýlí. Vytiskne-li se tento mustr a přilepí na standardní obroučky, tyto brýle dokážou počítačům nalhat falešnou identitu. Mění totiž přesně ty pixely obrazu, které jsou rozhodující pro software, jenž pak obrazu určité kategorie přiřadí například obraz určité ženy. Jeden z vědců, který si tyto brýle nasadil, byl počítačem rozpoznán jako herečka Milla Jovovich. V jiném případě zase software považoval Asiata za muže z arabského prostoru.
Foto popis| Tento vzorec z pestrých barev výzkumníci nalepili na obroučky brýlí, aby tak systém uvedli v omyl.
Foto popis| V čínské historické vesnici Wuzhen používají pro přístup k pamětihodnostem efektivní systém pro identifikaci tváří.
O autorovi| MICHAL ČERNÝ, michalcerny.media@seznam.cz