Fawkes: Bildtarnung verhindert Gesichtserkennung

Eine Forschergruppe hat einen Algorithmus namens Fawkes veröffentlicht, der Fotos so verändert, dass Gesichtserkennung nicht mehr greift.

Fawkes, boerse.bz
Fawkes, boerse.bz Bildquelle: geralt, thx! (Pixabay Lizenz)

Eine Forschergruppe hat einen Algorithmus veröffentlicht, der Fotos so verändert, dass Gesichtserkennung nicht mehr funktioniert. Fawkes ist gleichermaßen das Werkzeug zur Vermeidung von Gesichtserkennung und zum Datenschutz.

Forscher des Sand Lab der Universität von Chicago haben eine Technik entwickelt, mit der Fotos von Menschen unmerklich so verändert werden können, dass sie die Funktionsweise von Gesichtserkennungssystemen sabotieren. Das Projekt trägt den Namen Fawkes in Anlehnung an die Anonymous-Maske im Graphic Novel und Film V for Vendetta.

Gesichts-Veränderungen sind für menschliches Auge nicht wahrnehmbar

Fawkes besteht aus einer Software, die einen Algorithmus ausführt, mit dem sich Fotos „tarnen“ lassen. Sie verarbeitet Fotos, indem sie winzige Veränderungen auf Pixelebene vornimmt. Auf diese Weise ändert Fawkes es so weit, dass die künstliche Intelligenz es als unterschiedlich erkennt, aber nicht so sehr, dass es vom menschlichen Auge wahrgenommen werden kann. Die Forscher nennen die Methode „Image Cloaking“. Benutzer können solche bearbeiteten „getarnten“ Fotos zum Einstellen in soziale Netzwerke verwenden, sie an Freunde senden, drucken oder auf digitalen Geräten anzeigen. Wenn jedoch jemand diese öffentlichen Gesichtsfotos sammelt, um ein Gesichtserkennungsmodell zu erstellen, erzeugen die getarnten Fotos ein stark verzerrtes Gesicht. Der Tarneffekt ist schwer zu erkennen und zeigt keine Fehler im Modelltraining. Wenn das Gesichtserkennungssystem versucht, jemanden anhand dieses Modells zu identifizieren, schlägt dies fehl.


Die Forscher erklären die Funktionsweise wie folgt:

„Unser Verzerrungs- oder Tarnalgorithmus nimmt die Fotos des Benutzers auf und berechnet minimale Störungen, die sie im Merkmalsraum eines Gesichtserkennungsmodells erheblich verschieben (wobei sich reale oder synthetische Bilder eines Dritten als Orientierungspunkt verwenden lassen). Jedes Gesichtserkennungsmodell, das anhand dieser Bilder des Benutzers trainiert wird, lernt eine veränderte Reihe von ‚Merkmalen‘, wie diese aussehen.“

Fawkes sabotiert Clearview AI

Die Forscher haben Fawkes ausgiebig getestet anhand verschiedener aktueller Gesichtserkennungsmodelle, wie Microsoft Azure, Amazon Recognition und Face++. Zu Übereinstimmungen mit dem Originalfoto einer Person kam es dabei kein einziges Mal. Insofern hat sich der Algorithmus bereits bewährt, befindet sich aber trotzdem noch in der Entwicklungsphase. Insbesondere wollen die Forscher mit ihrem Projekt gegen solche unautorisierte Gesichtserkennung vorgehen, wie Clearview AI. Dabei greift deren Datenbank bereits auf ca. drei Milliarden Fotos zu. Diese hat Unternehmen von Personen aus öffentlich zugänglichen Quellen im Internet, wie Facebook oder YouTube, durch Screen Scraping gesammelt.

Projekt-Präsentation findet auf dem USENIX-Sicherheitssymposium 2020 statt

Das Konzept wird die Forschergruppe nun im August auf dem USENIX-Sicherheitssymposium 2020 vorstellen. Als Autoren des Manuskripts mit dem Titel „Fawkes: Protecting Privacy against Unauthorized Deep Learning Models“ werden zwei Doktoranden des SAND-Labors als Leiter genannt, Emily Wenger und Shawn Shan. Wichtige Beiträge lieferten zudem Jiayun Zhang (Besucher des SAND-Labors und derzeitiger Doktorand an der UC San Diego) und Huiying Li, ebenfalls Doktorand des SAND-Labors. Als Fakultätsberater waren die Ko-Direktoren des SAND-Labors, die Professoren Ben Zhao und Heather Zheng, involviert. Die Forscher haben ihren Python-Code auf GitHub veröffentlicht, mit Anweisungen für Benutzer von Linux, MacOS und Windows.

Tarnkappe.info

Ich bin bereits seit Januar 2016 Tarnkappen-Autor. Eingestiegen bin ich zunächst mit Buch-Rezensionen. Inzwischen schreibe ich bevorzugt über juristische Themen, wie P2P-Fälle, greife aber auch andere Netzthemen, wie Cybercrime, auf. Meine Interessen beziehen sich hauptsächlich auf Literatur.