Investigadores israelíes han desarrollado una red neuronal capaz de generar caras "maestras", es decir, imágenes faciales capaces de suplantar varias identificaciones. El trabajo sugiere que es posible generar esas "claves maestras" para más del 40% de la población utilizando solo 9 rostros sintetizados por la red StyleGAN Generative Adversarial. Al probar el sistema, los investigadores descubrieron que un solo rostro generado podía desbloquear el 20% de todas las identidades de la base de datos de código abierto Labeled Faces in the Wild.
|
etiquetas: reconocimiento 
!["Caras maestras" que pueden eludir más del 40% de los sistemas de autentificación facial [inglés]](https://peta.meneame.net/backend/media?type=link&id=3538385&version=0&ts=1628099827&image.jpeg)
Ya sé que suena parecido, pero reconocimiento facial y autenticación facial son cosas, aunque relacionadas, muy distintas. De entrada la mayoría de los sistemas de autenticación usan infrarojos (siendo Face ID el más común) para hacer un modelo 3D de la cara, así que una foto nunca va a funcionar.
Si miráis la noticia que pongo aquí, indica que en EEUU un adolescente negro se le prohibió el acceso a un skating porque su sistema de identificación de cara dijo que era otra persona que un tiempo atrás la lio cuando lo unico que tenían en común era que son dos adolescentes negros. Más fácil creo que no lo pueden poner...
blavity.com/black-teen-barred-from-skating-rink-after-being-misidentif
Hace años vi que se usaba también una cámara ultravioleta que captaba peculiaridades únicas y permitia discernir entre gemelos. Pero aún así, sigue sin ser buena idea.
- Una red de deep learning se compone de una serie de parámetros (que llamaremos pesos) a entrenar. Suelen ser muchos (del orden de millones de parámetros o miles de millones, como en la famosa GPT-3). ¿Y cómo se entrenan me diréis? Pues con muchos datos de entrada y una función de coste. Esta función de coste tiene que tener dos peculiaridades: ser positiva y derivable con respecto a todos los pesos, y que cuando sea cero nos indique que hace perfectamente el objetivo que le hemos encomendado (perfecto con los datos de entrenamiento, luego recibirá datos que nunca ha visto antes y funcionará bien o no, esto no es seguro). Las redes se entrenan minimizando esa función de coste, usando la pendiente de la derivada para decidir hacia dónde movemos los pesos.
- Una vez entrenada la red, nos proponemos engañarla. ¿Cómo se hace esto? Pues dado unos datos que entrada, cuya salida es perfecta, lo que queremos es modificarlos levemente, con el objetivo de que cambie la salida. Es tan sencillo como hacer lo mismo que hablamos de entrenar los pesos de la red, con la diferencia de que ahora lo que entrenamos es la entrada.
- Pongamos un ejemplo: digamos que tenemos un sistema de clasifica imágenes de animales. Y tenemos una foto de un perro, que nuestro sistema clasifica perfectamente (está un 99% seguro que es un perro). Entonces, ¿cuánto hay que modificar la imagen del perro para que el sistema crea que la salida es un elefante, con un 99% de precisión? Pues la respuesta real es que muy poco. Es más, el ojo humano difícilmente va a notar la diferencia entre la imagen real y la imagen trucada (aquí podéis ver algún ejemplo: spectrum.ieee.org/hacking-the-brain-with-adversarial-images#toggle-gdp).
- ¿Se puede evitar este problema? Se puede mitigar, pero ahora mismo no hay ningún sistema que sea capaz de eliminarlo completamente. El problema es que para resolverlo completamente habría que mapear todo el espacio de entrada (si tienes dos variables, recorrer todas las combinaciones posibles), pero en imágenes con millones de píxeles, esto es muy difícil de hacer.
- ¿Qué hace el sistema de este paper? Pues algo parecido, con la salvedad de que modifica los vectores aleatorios que se usan para generar imágenes con la red StyleGAN (es esa red que genera fotos superrealistas que tanto gustan a las noticias).
- ¿Por qué es algo más complejo que lo que acabo de contar? Porque la función de coste que ellos usan rompe lo que os decía anteriormente: no es derivable. Así que usan otro tipo de técnicas (algoritmos genéticos si vi bien) que también pueden ser usadas para el mismo cometido, pero son muuuuucho más lentos.
- Ellos dicen que esto es más potente que lo que ya hay porque no requiere conocer cómo está entrenado el sistema que quieren engañar, pero lo que sí necesitan son los datos que han sido usados para entrenarla, así que tampoco hay que correr en círculos ya. No dejan de ser aplicaciones académicas para alertar de la problemática de estas redes.
No sé si me he dejado algo sin explicar (o si lo he hecho comprensible al lego en el tema
#0 "ataca" sistemas que buscan identificar la cara, no si la cara es verdadera; el primero es un problema con muchas menos restricciones y las redes usadas son más para clasificar gente en fotos que para otra cosa, el segundo usa otro tipo de parámetros que no son evaluados aquí en absoluto, y cuya variabilidad es muy muy limitada.
Una cara bidimensional simplemente puede estar en tantos ángulos, con tantos gestos, y con tan dispares niveles y ángulos de iluminación que la identificación no puede ser estricta si se quiere que sea funcional; simplemente pierde demasiada información en 3D->2D y hay cantidades absurdas de ruido en términos de iluminación, así que encontrar ejemplos que den falsos positivos en varios modelos no tiene nada de sorpendente.
En IR/3D la cosa cambia y los niveles de ambigüedad se evaporan, tanto que el uso de ML/DL de este lado es mínimo, así que no hay una RNN a la que engañar propiamente dicha, sino a modelos estadísticos relativamente rígidos.
¿Puedes vencer a FaceID? Pues sí, puedes copiar la forma de una cara, imitar el nivel de reflexión de IR de distintos tipos y ángulos de piel (y ojos). Y acabas con un animatronic que se parece a la persona que intentas suplantar. Pero el umbral de autenticación es mucho más alto, así que obtener una cara que se pueda parecer a varias en un sistema de autenticación generalmente significa que esas dos caras ya eran, de entrada, muy parecidas entre sí
Muchas veces, aunque no siempre, hasta gemelos idénticos son identificados correctamente como personas distintas por Face ID y Windows Hello, por esas pequeñas diferencias en estructura ósea, así que la posibilidad de que una cara funcione con dos caras razonablemente distintas es nula.
Simplificando mucho mucho, tu DL no va a encontrar un x fuera de (1,2) que cumpla 1 < x < 2.
¿Que en la práctica es muy difícil de engañarlo? Pues claro, por eso mencionaba que son ejemplos académicos, requieren que tengan mucha información que en un entorno real no vas a ser capaz de obtener. Pero el 3D tiene la misma problemática que el 2D, aunque más compleja.
Te paso algún artículo para que veas que el 3D también se puede atacar: arxiv.org/pdf/2104.12146.pdf