Credit: Unsplash/CC0公共领域机器学习(ML)系统正在变得无孔不入,不仅在影响我们日常生活的技术中,而且在观察它们的技术中,包括人脸表情识别系统。制造和使用这种广泛部署的服务的公司依赖于所谓的隐私保护工具,这些工具通常使用生成性对抗网络(GANs),通常由第三方制作,用于擦除个人身份的图像。但是它们有多好呢?NYU坦登工程学院的研究人员探索了这些工具背后的机器学习框架,发现答案是“不太”上个月,在第35届AAAI人工智能大会上发表了一篇名为“颠覆隐私保护型GANs:将秘密隐藏在净化后的图像中”的论文,由NYU·坦登电气和计算机工程学院副教授西达尔特·加尔格领导的团队探索了隐私数据是否仍能从被隐私保护型GANs (PP-GANs)等深度学习歧视者“净化”过的图像中恢复出来,这些图像甚至已经通过了经验测试。该团队包括主要作者、博士生刘伉和电气与计算机工程研究助理教授本杰明·谭(Benjamin Tan),他们发现,事实上,PP-GAN设计可以被颠覆以通过隐私检查,同时仍然允许从经过净化的图像中提取秘密信息。
基于机器学习的隐私工具具有广泛的适用性,有可能应用于任何隐私敏感领域,包括从车载摄像头数据中移除与位置相关的信息、混淆产生手写样本的人的身份或从图像中移除条形码。由于所涉及的复杂性,基于GAN的工具的设计和培训外包给了供应商。
“许多保护可能出现在监控或数据收集摄像头上的人的隐私的第三方工具使用这些PP-GANs来操纵图像,”Garg说。“这些系统的版本旨在净化面部图像和其他敏感数据,以便仅保留应用程序关键信息。虽然我们的敌对PP-GAN通过了所有现有的隐私检查,但我们发现它实际上隐藏了与敏感属性相关的秘密数据,甚至允许重建原始的私人图像。”
该研究提供了PP-GANs和相关经验隐私检查的背景,制定了一个攻击场景来询问经验隐私检查是否可以被颠覆,并概述了一种规避经验隐私检查的方法。
该团队首次对保护隐私的GANs进行了全面的安全分析,并证明现有的隐私检查不足以检测敏感信息的泄露。使用一种新颖的隐写方法,他们对抗地修改一个最先进的PP-GAN,以隐藏一个秘密(用户标识),从所谓的净化人脸图像。他们表明,他们提出的对抗性PP-GAN可以成功地将敏感属性隐藏在通过隐私检查的“净化”输出图像中,具有100%的秘密恢复率。Garg和他的合作者指出,经验指标取决于歧视者的学习能力和培训预算,他们认为这种隐私检查缺乏保证隐私的必要严格性。
“从实践的角度来看,我们的结果听起来是一个警告,不要使用数据净化工具,特别是第三方设计的PP-GANs,”Garg解释说。“我们的实验结果凸显了现有基于DL的隐私检查的不足,以及使用不受信任的第三方PP-GAN工具的潜在风险。”
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
