今天，在社交网络平台上分享自己的照片，已经成了很多人的一种生活习惯。但是不知道你有没有担心过，那就是这些我们晒出来的生活照，很可能会被一些企业在未经允许的情况下搜集和滥用。特别是这些年随着AI技术的发展，识别和追踪照片里的人像，变得越来越容易了。我们在社交平台上发布的照片，在AI算法看起来，可能就是一个不设防的个人隐私数据库。

那有没有什么办法，既能让我们随心所欲地晒照片，又不用担心被AI算法发现呢？

8月3号，芝加哥大学计算机系的官网上，报道了他们近期的一项研究成果。在这项研究里，科研人员发明了一种图片的“隐身滤镜”。经过这种滤镜处理之后的图片，人的肉眼几乎察觉不到任何变化；但是AI算法在看到这些图片的时候，就会突然变成了脸盲，完全没有办法从图片里正确识别出你的头像了。

科研人员在这篇论文中用自己的照片进行了测试，以100%的成功率欺骗了目前微软、亚马逊和旷世科技的人脸识别算法。我在文稿区附上了一张这篇论文里的图片，左侧是照片原图，右侧是经过隐身滤镜处理之后，AI算法无法正确识别的图片。

左右图，你能看出区别吗？

其实，算法已经悄悄给右边的照片加了一些微小的修改。

但就是这样肉眼根本看不出来的变化，就能100%骗过来自亚马逊、微软、旷视——全球最先进的人脸识别模型！

所以它的意义究竟何在？

它代表着你再也不用担心放在网上的照片被某些软件扒得干干净净，打包、分类，然后几毛钱一整份卖掉喂AI了。

这就是来自芝加哥大学的最新研究：给照片加上一点点肉眼根本看不出的修改，就能让你的脸做到成功「隐形」。

这样一来，即使你的照片在网络上被非法抓取，用这些数据训练出来的人脸模型，也无法成功识别到你的脸。

给照片穿上「隐身衣」

这项研究的目的，就是为了帮助网友们在分享自己的照片的同时，还能有效地保护自己的隐私。

因此，「隐身衣」本身也得「隐形」，这样才能避免对照片的视觉效果产生影响。

也就是说，这件「隐身衣」，其实是对照片进行像素级别的微小修改，从而蒙蔽AI的审视。

其实，对于深度神经网络而言，一些带有特定标签的微小扰动，就能够改变模型的「认知」。

比如，在图像里加上一点点噪声，熊猫就能变成长臂猿：

Fawkes就是利用了这样的一个特性。

用 x 指代原始图片，xT为另一种类型/其他人脸照片，φ 则为人脸识别模型的特征提取器。

具体，Fawkes是这样设计的：

首先：选择目标类型 T

指定用户 U，Fawkes的输入为用户 U 的照片集合，记为 XU。

从一个包含有许多特定分类标签的公开人脸数据集中，随机选取 K 个候选目标类型机器图像。

使用特征提取器 φ 计算每个类 k=1…K 的特征空间的中心点，记为 Ck。

而后，Fawkes会在 K 个候选集合中，选取特征表示中心点与 XU 中所有图像的特征表示差异最大的类，作为目标类型 T。

其次：计算每张图像的「隐身衣」

随机选取一幅 T 中的图像，为 x 计算出「隐身衣」δ(x, xT) ，并按照下列公式进行优化。

其中 |δ(x, xT)| < ρ。

研究人员采用DDSIM（Structural Dis-Similarity Index）的方法。并在此基础上进行隐身衣的生成，能保证隐身后的图像与原图在视觉效果上达到高度一致。

实验结果表明，不论人脸的识别模型被训练得多么刁钻，Fawkes都能提供95％以上的有效防护率，从而保证用户的脸不被识别。

即使有一些不小心泄露的未遮挡的照片被加入人脸识别模型的训练集，通过进一步的扩展设计，Fawkes也可提供80%以上的防识别成功率。

在Microsoft Azure Face API、Amazon Rekognition以及旷视Face Search API这几个最先进的人脸识别服务的面前，Fawkes的「隐身」效果竟达到了100%。

目前，Fawkes已开源，Windows、Mac和Linux都可使用。

安装简易方便

这里以Mac系统为例，给大家简单介绍一下软件的使用方法。使用的笔记本是MacBook Air，1.1GHz双核Intel Core i3的处理器。

第一步，我们从GitHub上下载压缩安装包，并进行解压。

第二步，把想要修改的所有照片放入一个文件夹里，并记住其路径。

以桌面上的一个名为test_person的图片文件夹为例子，里面我们放了三张照片，其中一张图片包含了两个人。

这里的图片路径是~/Desktop/test_person，根据你的图片保存的位置来确定。

第三步，打开启动台中的终端，进入到压缩包所在的文件夹。

注意，如果MacOS是Catalina的话，需先修改权限，以管理员的身份运行，sudo spctl —master-disable就可以了。

这里，我们的压缩包直接放在下载的文件夹里，直接cd downloads就可以。

进入下载文件夹后，输入./protection -d 文件路径（文件路径是图片文件夹所在的位置，这里输入~/Desktop/test_person），运行生成图片的「隐身衣」。

嗯？挺好，看起来竟然能识别一张图中的2个人脸。

缓慢地运行中……

据作者的介绍说，生成一张「隐身衣」的平均速度在40秒左右，这么看速度还是比较快的。

如果电脑的配置足够好，应该还能再快一点。

不过，双核的电脑就不奢求了…我们耐心地等一下。

从时间上来看，处理速度还算能接受。

Done！

图片中可看出，生成3张图片的「隐身衣」，电脑用了大约7分钟。

一起来看看生成的结果。

可以看见，文件夹中的3张图片，都生成了带有_low_cloaked的后缀名图片。

虽然介绍中提及，生成的后缀是_mid_cloaked的图片，不过软件提供的模式有「low」、「custom」、「ultra」、「mid」、「high」、「custom」几种，所以不同的模式就会有不同的后缀名。

以川普为例，来看看实际的效果。

左、右两张图片几乎看不出差别，并没有变丑，并且川普脸上的皱褶看起来还光滑了一些。

这样一来，我们就能放心地将经过处理后的人脸照片放到网上了。

即使被某些不怀好意的人拿去使用，被盗用的数据也并不是我们的人脸数据，再也不用担心隐私被泄露的问题。

不仅如此，这个软件还能「补救」你在社交网站上晒出的各种人脸数据。

比如，你曾经是一名冲浪达人，之前就将大量的生活照放到社交网站上——

照片可能已经被软件扒得干干净净了……

不用担心！

如果po上这些经过处理后的图片以后，那些自动扒图的人脸识别模型就会想要添加更多的训练数据，以提高准确性。

这个时候，穿上「隐身衣」的图片在AI看来甚至「效果更好」，就会将原始图像作为异常值放弃掉。

华人一作

论文的一作是一名华人学生单思雄，高中毕业于北京十一学校，目前刚拿到了芝加哥大学的学士学位，将于今年9月入学攻读博士学位，师从赵燕斌教授以及Heather Zheng教授。

作为芝加哥大学SAND Lab实验室的一员，他的研究主要侧重于机器学习以及安全的交互，像如何利用不被察觉的轻微数据扰动，去保护用户的隐私。

从单同学的推特来看，他一直致力于在这个「透明」的世界中，为我们争取一点点仅存的隐私。

论文的共同一作Emily Wenger同样来自芝加哥大学的SAND Lab实验室，现正攻读CS博士，研究方向是机器学习与隐私的交互，目前正在研究神经网络的弱点、局限性和可能对隐私造成的影响。

▼

AI算法在识别一张图片的时候，它的关注点跟我们人类识别图片的过程很可能是不一样的。甚至算法关注的维度可能更多、更复杂。具体来说，在我们人眼看来完全无法分辨区别的两张图片，在AI程序的分类标准下可以是截然不同的两组数据。在这个意义上，这款隐身滤镜欺骗的并不是AI算法，反而是人的大脑。

按照这个思路延伸下去，这种隐身滤镜技术，未来可能还可以变成一种信息加密的手段，用来制造出一类我们人的感官无法分辨，只有AI算法能够识别内在区别的图像甚至音频数据。

关于AI到底智不智能的两点看似矛盾的推论，正式我们推荐这项研究的原因。

今天的人工智能算法，依然处在快速发展的阶段；很多类似这篇研究中暴露出的关于AI算法的新特质，正在被快速地挖掘出来。这也是AI领域吸引人的重要原因之一。