הסוואה דיגיטלית חדשה צמחה ממחקר AI של DARPA

הרעש סביב הבינה המלאכותית בעולם אבטחת הסייבר והגנת הפרטיות מותיר ארגונים ומנהלי אבטחת מידע רבים מבולבלים. אלא שבתוך תחום רועש זה, מסתמנת נקודת מפנה חדשה במאבק בין מערכות זיהוי פנים – לבין האנשים שמנסים להתחמק מהן: סוג חדש של הסוואה דיגיטלית צמח ממחקר בינה המלאכותית של DARPA (ר"ת Defense Advanced Research Projects) – גוף המחקר הפדרלי בעל השם הקליט – "הסוכנות למחקר פרויקטי ביטחון מתקדמים במשרד ההגנה האמריקני" – אחראי על פיתוחים טכנולוגיים רבים בצבא ארה"ב ובצבאות זרים, לצד שימושים אזרחיים, ומכונה (הסוכנות) "המשוגעת".

כלי ה-AI החדש, הנתמך על ידי סוכנות המחקר, פועל באופן שונה מהרגיל: במקום להוסיף רעש, פילטרים או עיוותים נראים לעין, הטכניקה, הנקראת DiffProtect, משכתבת בעדינות את פניו של אדם בתמונה, תוך שימוש באותה טכנולוגיית בינה מלאכותית יוצרת, העומדת מאחורי כלי יצירת תמונה.

התמונה שמתקבלת עדיין נראית לכל צופה אנושי כמו הדמות שבתמונה – אך במערכות זיהוי פנים מתקדמות, התמונה הופכת למשהו אחר לגמרי.

הטכנולוגיה פותחה על ידי חוקרים מאוניברסיטת ג'ונס הופקינס, אוניברסיטת הונג קונג ו-AMD. המחקר נתמך על ידי תוכנית של סוכנות GARD (הבטחת עמידות של AI מפני הטעיה), שנועדה להבנה טובה יותר ולמציאת דרכים להתמודד עם האופן שבו מערכות לימוד מכונה עלולות להטעות. תוכנית GARD מתמקדת במחקרים על דינמיקות עוינות בין מערכות AI לקלטים (הנתונים המוכנסים לעיבוד) מטעים.

אנליסטים ציינו, כי ממצאי המחקר פורסמו ב"תזמון מרשים", כאשר מערכות זיהוי פנים עברו מעולם האבטחה הפיסי, שם נעשה בהם שימוש נישתי – לשדות תעופה, טלפונים חכמים, מערכות מניעת אובדן ברשתות קמעונאות ומאגרי נתונים נרחבים של מדיה חברתית. כך, ציינו אנליסטים, "מיליארדי אנשים חיים כבר בתוך רשת ביומטרית גלובלית, שאליה הם לא בחרו להצטרף באופן מודע. ככל שיותר מערכות שכאלו מוטמעות באופן נרחב, כך גדלים החששות לגבי שיעורי טעויות, הטיות, זיהוי שגוי ושחיקת האנונימיות – במרחבים ציבוריים ודיגיטליים".

בבסיס המחקר של DiffProtect עומדת ההנחה, שלפיה אותו סוג של מודלים מבוססי AI, שמאפשרים זיהוי פנים באופן הולך וגדל – יכול גם לערער אותו. היא בנויה על מודלים של דיפוזיה (פעפוע), טכנולוגיה שעומדת בבסיס רבים ממחוללי תמונות ה-AI.

אלא שבניגוד לאפליקציות שיוצרות תמונות מאפס, DiffProtect משתמשת במקודד אוטומטי מפעפע, לוקחת תמונת פנים ומפצלת אותה לשני ייצוגים פנימיים: קוד סמנטי ברמה גבוהה, שקולט את הפרטים והתכונות העיקריים בתמונה; וקוד רועש ברמה נמוכה, שמקודד טקסטורה, תאורה ופרטים עדינים נוספים.

על ידי התאמת הקוד הסמנטי בלבד, המערכת יכולה לשנות בעדינות את תכונות האדם המצולם בעת שחזור התמונה. השינויים האלה כמעט בלתי מורגשים. לפי החוקרים, התמונה המשופרת נראית כמו צילום אמיתי וקוהרנטי ולא שגויה או פגומה.

כך, DiffProtect מציגה שינויים זעירים בהבעות הפנים, בצורת העין, בגוון העור או במבנה הפנים, שמספיקים לבלבל מודל זיהוי ממוחשב, אך לא בולטים מספיק לצופה אנושי.

על מנת שהשינויים יישארו מזעריים ולא ישנו את דמות המצולם, החוקרים בנו "רגולציה", "מדיניות" – מערך חוקים סמנטיים, שמשווה ובודק את התמונה המקורית מול זו שעברה שינוי, ומגביל את פעילות האלגוריתם. כך, הסבירו, "לכלי מותר להטעות את המכונה, אבל לא את האנשים שמביטים בתמונה".

לפי החוקרים, הכלי הציג ביצועים מרשימים: בתרחישי תקיפה ממוקדים, שבהם המערכת מנסה שתמונת פנים אחת תיראה כאחרת, DiffProtect השיגה שיעורי הצלחה גבוהים ב-24% לעומת החלופות המובילות, תוך שמירה טובה יותר על איכות התמונה. הכלי נותר יעיל גם בעת שימוש בסוגי הגנות שונים, לרבות מערכות זיהוי פנים מסחריות.

"כלים כמו DiffProtect אינם מיועדים להסתיר פושעים", ציינו החוקרים, "הם מציעים לאנשים דרך טכנית להשיב לעצמם מידה מסוימת של חופש, פרטיות ועצמאות".

למרות ההבטחה שלו, DiffProtect עדיין אינו משווק כיישום צרכני בשל הצורך בחומרה חזקה וזמן חישוב משמעותי.

החוקרים סיכמו: "חל שינוי עמוק. הפרטיות בעידן ה-AI עשויה בסופו של דבר להיות תלויה ב-AI עצמה".