Ferramenta protege fotos do reconhecimento facial

Nos últimos anos, as empresas têm vasculhado a web em busca de fotos públicas associadas aos nomes das pessoas, que podem ser usadas para criar enormes bancos de dados de rostos e melhorar seus sistemas de reconhecimento facial, aumentando a crescente sensação de que a privacidade pessoal está sendo perdida pouco a pouco a cada bit.

Uma startup chamada Clearview AI, por exemplo, coletou bilhões de fotos online para criar uma ferramenta para a polícia que poderia levá-los de um rosto para uma conta do Facebook, revelando a identidade de uma pessoa.

Agora, os pesquisadores estão tentando despistar esses sistemas. Uma equipe de engenheiros de computação da Universidade de Chicago desenvolveu uma ferramenta que disfarça fotos com alterações nos pixels que confundem os sistemas de reconhecimento facial.

Chamado de Fawkes, em homenagem à máscara de Guy Fawkes, uma das preferidas por manifestantes em todo o mundo, o software foi disponibilizado aos desenvolvedores no site dos pesquisadores no mês passado. Depois de ser descoberto pelo Hacker News, ele foi baixado mais de 50 mil vezes. Os pesquisadores estão trabalhando em uma versão gratuita para quem não é programador e esperam torná-la disponível em breve.

O software não pretende ser apenas uma ferramenta exclusiva para pessoas que amam a privacidade. Se implantado em milhões de imagens, seria uma barreira contra os sistemas de reconhecimento facial, estragando a precisão dos conjuntos de dados coletados da web.

“Nosso objetivo é fazer com que a Clearview desapareça”, disse Ben Zhao, professor de ciência da computação na Universidade de Chicago.

Fawkes converte uma imagem — ou a “disfarça”, na linguagem dos pesquisadores — alterando sutilmente alguns dos recursos dos quais os sistemas de reconhecimento facial dependem quando constroem a impressão facial de uma pessoa. Em um trabalho de pesquisa, relatado anteriormente pelo OneZero, a equipe descreve o “disfarce” de fotos da atriz Gwyneth Paltrow usando o rosto do ator Patrick Dempsey, para que um sistema que aprenda a aparência de Gwyneth com base nessas fotos comece a associá-la a alguns dos traços do rosto de Dempsey.

As mudanças, geralmente sutis e não perceptíveis a olho nu, impediriam o sistema de reconhecer Gwyneth quando fosse usada uma foto real, sem nenhuma alteração. Nos testes, os pesquisadores conseguiram enganar os sistemas de reconhecimento facial de Amazon, Microsoft e da empresa de tecnologia chinesa Megvii.

Para testar a ferramenta, pedi à equipe que alterasse algumas imagens minhas e da minha família. Depois, publiquei os originais e as imagens com alterações no Facebook para ver se elas enganaram o sistema de reconhecimento facial da rede social. Funcionou: o Facebook me marcou na foto original, mas não me reconheceu na versão disfarçada.

No entanto, as mudanças nas fotos eram visíveis a olho nu. Nas imagens alteradas, eu parecia macabra, minha filha de 3 anos tinha algo no rosto que lembrava uma barba e meu marido parecia ter um olho roxo.

Os pesquisadores tinham algumas explicações para isso. Uma é que o software foi projetado para combinar o usuário com o modelo de rosto de alguém que pareça ser o mais diferente possível, retirando as informações de um banco de dados de rostos de celebridades. Isso geralmente acaba sendo uma pessoa do sexo oposto, o que leva a problemas óbvios.

“As mulheres adquirem bigodes e os homens ganham cílios extras ou sombra nos olhos”, disse Zhao. Ele está entusiasmado com o que chama de “armadura de privacidade” e já havia ajudado a projetar uma pulseira que impede que smart speakers ouçam conversas secretamente.

A equipe diz que planeja ajustar o software para que deixe de mudar sutilmente o sexo dos usuários.

A outra questão é que meu experimento não foi o que a ferramenta foi projetada para fazer, então Shawn Shan, um doutorando da Universidade de Chicago e um dos criadores do software Fawkes, fez as alterações nas minhas fotos o mais exagerado possível para garantir que funcionasse. O Fawkes não pretende impedir que um sistema de reconhecimento facial como o do Facebook reconheça alguém em uma única foto. Ele está tentando corromper sistemas de reconhecimento facial de maneira mais ampla, realizando um ataque algorítmico chamado de envenenamento de dados.

Os pesquisadores disseram que, idealmente, as pessoas começariam a disfarçar todas as imagens que publicarem. Isso significaria que uma empresa como a Clearview, que se alimenta a partir dessas fotos, não seria capaz de criar um banco de dados, porque uma foto não identificada de você do mundo real não corresponderia ao modelo que a Clearview teria construído ao longo do tempo a partir de suas fotos online .

Mas o CEO da Clearview, Hoan Ton-That, executou uma versão do meu experimento no Facebook no aplicativo da Clearview e disse que a tecnologia não interferia em seu sistema. Na verdade, ele disse que sua empresa poderia usar imagens disfarçadas pelo Fawkes para melhorar sua capacidade de entender imagens alteradas.

“Existem bilhões de fotos não modificadas na internet, todas em diferentes nomes de domínio”, disse Ton-That. “Na prática, é quase certo de que seja tarde demais para aperfeiçoar uma tecnologia como o Fawkes e implantá-lo em escala”.