Tôi cần thay đổi khuôn mặt của mình đến mức nào để tránh bị nhận dạng khuôn mặt?

Dữ liệu sinh trắc học của chúng tôi được cung cấp miễn phí cho bất kỳ ai có mô hình AI và máy ảnh. Phần mềm nhận dạng khuôn mặt là một công nghệ phổ biến đến mức chúng ta gửi dữ liệu của mình bất cứ khi nào chúng ta đi qua quầy an ninh sân bay hoặc bước vào cửa hàng thuốc. Bạn bắt đầu tự hỏi liệu có thể che giấu các đặc điểm trên khuôn mặt của chúng ta hay không, hay nói cách khác là thay đổi diện mạo của chúng ta đến mức đánh lừa thuật toán AI.

Bạn không thể đeo mặt nạ N95, khăn quàng cổ và kính râm để né tránh Big Brother sao? Cho đến nay, cách tốt nhất để tránh bị nhận dạng khuôn mặt phát hiện là tránh camera. Nhưng nhiệm vụ đó có thể sớm trở nên gần như không thể thực hiện được. Các chuyên gia về quyền riêng tư cảnh báo rằng chúng ta có thể đã không còn khả năng bảo vệ dữ liệu sinh trắc học của mình. Chẳng bao lâu nữa, biện pháp phòng vệ thực sự duy nhất có thể là quy định của liên bang.

Cynthia Rudin

Giáo sư Khoa học Máy tính Gilbert, Louis và Edward Lehrman; Các khoa Khoa học Máy tính, Kỹ thuật Điện và Máy tính, Khoa học Thống kê, Toán học và Thống kê Sinh học & Tin sinh học; Đại học Duke

Tôi nghĩ bạn không thể thay đổi khuôn mặt của mình một cách thực tế để đánh lừa công nghệ nhận dạng khuôn mặt hiện đại. Tôi nghĩ trong thời kỳ đại dịch, họ đã thay đổi hệ thống để phụ thuộc nhiều vào hình dạng mắt của mọi người, bởi vì rất nhiều người đã đeo khẩu trang che mũi và miệng. Tôi thực sự không biết làm thế nào mọi người có thể thay đổi hình dạng của đôi mắt một cách thực tế để đánh lừa các hệ thống này. Nếu bạn đeo kính râm và sau đó làm gì đó với khuôn mặt của mình (có thể là đeo mặt nạ hoặc trang điểm ấn tượng) thì khuôn mặt của bạn sẽ khó bị phát hiện hơn, nhưng đó là lừa dối trong câu hỏi—đó không phải là thay đổi khuôn mặt của bạn, đó chỉ là che giấu nó mà thôi!

Nhưng giả sử bạn đã làm điều gì đó kịch tính để thay đổi khuôn mặt của mình—một điều gì đó thực sự rất ấn tượng—để hệ thống nhận dạng khuôn mặt không nhận ra bạn. Có lẽ đó sẽ là một loại phẫu thuật thẩm mỹ nào đó. Vâng, sau đó thì sao? Ngay khi khuôn mặt của bạn xuất hiện trên internet cùng với tên của bạn (hãy nghĩ đến việc một người bạn gắn thẻ bạn trên mạng xã hội hoặc bạn đang giảng bài xuất hiện trực tuyến), thì tất cả các hệ thống nhận dạng khuôn mặt tìm kiếm mọi người trên internet sẽ có thể dù sao cũng nhận dạng được bạn.

Và bây giờ khuôn mặt của bạn sẽ không khớp với bằng lái xe hay hộ chiếu nên việc đi lại sẽ thực sự khó khăn với bạn. Vì vậy, thành thật mà nói, tại sao phải bận tâm? Trong mọi trường hợp, tôi rất vui vì bạn đã hỏi câu hỏi này, vì nó cho thấy việc tránh người khác thu thập thông tin sinh trắc học của chúng ta là vô ích như thế nào. Yêu cầu chính phủ ban hành luật để bảo vệ chúng ta dễ dàng hơn nhiều so với việc liên tục thay đổi bộ mặt của chúng ta một cách đáng kể.

Walter Scheirer

Giáo sư Kỹ thuật của Đại học Dennis O. Doughty; Khoa Khoa học & Kỹ thuật Máy tính; Đại học Notre Dame

Câu trả lời cho câu hỏi một người phải thay đổi ngoại hình đến mức nào để tránh nhận dạng khuôn mặt phụ thuộc vào cách sử dụng thuật toán nhận dạng khuôn mặt. Trong sinh trắc học con người, có hai chế độ nhận dạng trùng khớp phổ biến: 1-1 và 1-nhiều. Ở chế độ 1-1, xác minh được thực hiện để đảm bảo danh tính được xác nhận của người đứng trước máy ảnh khớp với ảnh đã đăng ký trước đó về danh tính đó trong cơ sở dữ liệu của hệ thống. Kịch bản này đã phổ biến trong nhiều năm đối với các cuộc điều tra thực thi pháp luật và xác thực máy tính có độ bảo mật cao, nhưng hiện nay phổ biến trong các bối cảnh khác mà người tiêu dùng phải đối mặt, chẳng hạn như khi lên chuyến bay quốc tế tại sân bay. Ở chế độ 1-nhiều, ảnh của một chủ đề không xác định sẽ được so khớp với một tập hợp các ảnh đã đăng ký trước đó về danh tính quan tâm. Chế độ này thường được sử dụng trong cài đặt giám sát dựa trên video, bao gồm các hoạt động thực thi pháp luật và tình báo của chính phủ.

Việc trốn tránh chế độ 1-1 trong môi trường được kiểm soát (ví dụ: trong phòng đặt chỗ tại nhà tù địa phương) là rất khó khăn. Những tiến bộ lớn đã được thực hiện trong thuật toán nhận dạng khuôn mặt thông qua việc sử dụng mạng lưới thần kinh nhân tạo phức tạp, đạt được độ chính xác khớp cao đáng kể trên nhiều diện mạo khác nhau của một cá nhân. Nếu ảnh thu được có tư thế chính diện, biểu cảm trung tính, ánh sáng tốt và hậu cảnh được kiểm soát thì các kỹ thuật né tránh cơ bản như trang điểm, thêm/xóa lông mặt, thay đổi kiểu tóc, v.v., sẽ không hiệu quả. Nghiên cứu gần đây đã xem xét tác động của phẫu thuật thẩm mỹ đối với nhận dạng khuôn mặt và trong khi những thay đổi mạnh mẽ về mặt thẩm mỹ đối với cấu trúc khuôn mặt có thể có tác dụng phần nào, các quy trình thẩm mỹ phổ biến hơn không có tác động lớn như người ta nghĩ.

Việc tránh chế độ 1-nhiều trong môi trường giám sát không được kiểm soát sẽ dễ dàng hơn một chút—người ta không cần phải dùng đến các biện pháp phẫu thuật. Ngay cả những mạng lưới thần kinh tốt nhất cũng phải vật lộn với những bức ảnh chất lượng thấp, thiếu các pixel giàu thông tin về khuôn mặt con người, đặc biệt là khi đối chiếu với một danh sách lớn các danh tính tiềm năng. Vì vậy, bước đầu tiên là từ chối thuật toán các pixel đó bằng cách che khuất khuôn mặt. Che mặt trong những trường hợp không đáng nghi ngờ, ví dụ như quàng khăn vào mùa đông, đeo kính râm vào ngày nắng. Mũ có vành rộng cũng là một điều khó hiểu vì chúng có thể che đi phần trán và tóc, đồng thời tạo bóng trên khuôn mặt. Đưa tay lên che mặt cũng tốt cho việc này. Bước thứ hai là nhìn xuống khi đang chuyển động để bất kỳ máy ảnh nào ở gần sẽ không chụp được hình ảnh chính diện rõ ràng của khuôn mặt. Thứ ba, nếu một người có thể di chuyển nhanh, điều đó có thể gây ra hiện tượng nhòe chuyển động trong ảnh được chụp—hãy cân nhắc việc chạy bộ hoặc đi xe đạp.

Lời khuyên thiết thực nhất của tôi để trốn tránh: biết nơi nhận dạng khuôn mặt đang được triển khai và chỉ cần tránh những khu vực đó. Tuy nhiên, lời khuyên này vẫn hữu ích trong bao lâu tùy thuộc vào mức độ phổ biến của công nghệ trong những năm tới.

Các thuật toán ngày nay khá chấp nhận những thay đổi tinh tế trên khuôn mặt, cả vô hại (ví dụ như mụn trứng cá, sưng nhẹ) hoặc không (ví dụ như botox).

Lưu Hiểu Minh

Giáo sư Anil K. & Nandita K. Jain; Khoa học và Kỹ thuật Máy tính (CSE), Trường Cao đẳng Kỹ thuật; Đại học bang Michigan

Trước hết, định nghĩa của tôi về “tránh nhận dạng khuôn mặt” có nghĩa là Hệ thống nhận dạng khuôn mặt (FRS) không nhận dạng được khuôn mặt của đối tượng khi đối tượng được máy ảnh chụp.

Có một số cách để “chủ động” thất bại FRS:

1. Tấn công vật lý đối nghịch. Hầu hết các mô hình AI đều dễ bị tấn công bất lợi, tức là một sửa đổi nhỏ của mẫu dữ liệu đầu vào có thể khiến hệ thống AI bị lỗi hoàn toàn. Điều tương tự cũng áp dụng cho FRS. Chìa khóa ở đây là tìm hiểu một “sửa đổi nhỏ” cụ thể để sửa đổi đó có thể không đạt FRS. Ví dụ, CMU có một bài báo về thiết kế những loại kính đặc biệt có thể làm hỏng FRS. Bạn có thể tưởng tượng rằng ai đó có thể làm theo ý tưởng tương tự để thiết kế một chiếc khăn quàng cổ, khẩu trang hoặc thậm chí là bộ ria mép cũng có thể không đạt FRS

2. Bạn cũng có thể chủ động thay đổi diện mạo khuôn mặt của mình để FRS nhận ra bạn là người khác. Một cách phổ biến là trang điểm. Tuy nhiên, thật khó để trả lời câu hỏi, đó là tôi sẽ trang điểm ở đâu và bao nhiêu để có thể trượt FRS. Câu trả lời phụ thuộc rất nhiều vào chủ đề. Lý do là vì ngoại hình khuôn mặt của một số cá nhân phổ biến hơn và giống với những người khác hơn, do đó, một sửa đổi trang điểm tương đối nhỏ cũng có thể đủ để nhận dạng sai anh ta là một người khác. Ngược lại, nếu khuôn mặt của một người rất độc đáo thì sẽ cần phải chỉnh sửa nhiều hơn về cách trang điểm. Một ứng dụng thú vị có thể là như sau: một ứng dụng điện thoại thông minh tương tác nhìn vào khuôn mặt của tôi qua camera của điện thoại, cho tôi biết nơi tôi sẽ bắt đầu trang điểm và lặp đi lặp lại cho tôi hướng dẫn về vị trí và có thể là màu trang điểm nào để tôi có thể bị nhận dạng sai. FRS với trang điểm tối thiểu. Ngoài trang điểm, người ta cũng có thể sử dụng mặt nạ đắt tiền, điều này có thể phổ biến hơn trong các bộ phim Hollywood.

Như bạn có thể biết, xác suất thất bại thành công của FRS bằng cách nào đó cũng tương quan với mức độ nỗ lực mà đối tượng đang thực hiện. Cách tiếp cận 1 dễ dàng hơn cho người dùng nhưng không quá đáng tin cậy, đặc biệt khi người ta thích thiết kế một cuộc tấn công đối nghịch “phổ quát”, chẳng hạn như một ly cho mọi người. Cách tiếp cận 2 được cá nhân hóa hơn và hoạt động tốt hơn nhưng đòi hỏi nhiều nỗ lực hơn.

Kevin W. Bowyer

Gia đình Schubmehl-Prein Giáo sư Khoa học & Kỹ thuật Máy tính; Đại học Notre Dame

Câu trả lời là: “còn tùy”. Nó phụ thuộc (ít nhất) vào thuật toán khớp khuôn mặt được sử dụng và ngưỡng được sử dụng với thuật toán đó.

Để hiểu rõ hơn, hãy bắt đầu với thực tế là nhận dạng khuôn mặt là so sánh hai hình ảnh và quyết định xem các khuôn mặt trong ảnh có (a) giống nhau đến mức chúng phải là cùng một người hay (b) khác nhau đến mức chúng phải đến từ những người khác nhau.

Mỗi thuật toán nhận dạng khuôn mặt là một phương pháp cụ thể để tính toán một “vectơ đặc trưng” (ngày nay thường được gọi là “nhúng”) từ hình ảnh của một khuôn mặt và một phương pháp so sánh hai vectơ đặc trưng để đưa ra giá trị về mức độ giống nhau của chúng. Một hình ảnh một khuôn mặt có thể được rút gọn thành danh sách gồm 512 số (“vectơ đặc trưng” hoặc “nhúng”). Các vectơ đặc trưng từ hai hình ảnh khuôn mặt có thể được so sánh và cho kết quả tương tự trong khoảng từ 0 đến 100 hoặc từ -1 đến +1. Kết quả 100 hoặc +1 sẽ chỉ có kết quả nếu bạn so sánh hai bản sao của cùng một hình ảnh; đó sẽ là một kết quả bất thường nếu thấy trong thực tế.

Hãy tưởng tượng chúng ta đang sử dụng thuật toán nhận dạng khuôn mặt tiên tiến và sử dụng giá trị tương tự nằm trong phạm vi -1 đến +1. Các giá trị tương tự để so sánh giữa tất cả các loại hình ảnh của những người khác nhau có thể tập trung vào khoảng 0,0 hoặc chỉ cao hơn một chút. Các giá trị tương tự để so sánh giữa tất cả các loại hình ảnh của cùng một người có thể tập trung vào khoảng 0,8 hoặc cao hơn một chút. Nếu việc thu nhận hình ảnh cho ứng dụng được kiểm soát tốt, có thể giống như ảnh giấy phép lái xe, thì giá trị tương tự trung bình cho hai hình ảnh của cùng một người sẽ cao hơn. Nếu việc thu nhận hình ảnh kém được kiểm soát tốt hơn, có thể giống như hình ảnh được lấy từ khung hình video khi mọi người bước vào cửa hàng, thì giá trị tương tự trung bình của hai hình ảnh của cùng một người sẽ thấp hơn.

Ai đó sẽ quyết định giá trị ngưỡng được sử dụng để nhận dạng. Nếu giá trị 0,7 được chọn làm ngưỡng thì khi hai hình ảnh được so sánh và độ giống nhau của chúng dưới 0,7, hệ thống sẽ thông báo rằng chúng phải là hình ảnh của những người khác nhau. Nếu giá trị bằng hoặc cao hơn 0,7 thì hệ thống sẽ thông báo rằng chúng phải là hình ảnh của cùng một người.

Tại thời điểm này, chúng ta có thể thấy câu hỏi ban đầu là “Tôi cần thay đổi ngoại hình của mình đến mức nào để tránh bị nhận dạng khuôn mặt?” có thể được định dạng lại thành “Những điều tốt nhất cần làm để giảm giá trị tương tự cho hình ảnh mới của tôi khi so sánh nó với hình ảnh cũ của tôi là gì?”

Có rất nhiều điều bạn có thể làm. Bạn có thể đeo kính râm tối màu, thay đổi kiểu tóc mà vẫn trông tự nhiên. Bạn có thể thể hiện một số biểu cảm trên khuôn mặt quá mức nhưng điều đó có thể sẽ không được tự nhiên. Bạn có thể tránh nhìn thẳng vào máy ảnh để ảnh mới bị lệch góc. Nghiêm trọng hơn, bạn có thể tăng hoặc giảm cân. Hoặc bạn có thể sử dụng mỹ phẩm để “thay đổi diện mạo của mình”. Không điều nào trong số này có thể đảm bảo rằng bạn sẽ không giống với bức ảnh cũ của mình. Bạn không nhất thiết phải biết ảnh cũ nào của mình sẽ được sử dụng để so sánh với ảnh mới hoặc thuật toán nào sẽ được sử dụng hoặc ngưỡng nào sẽ được sử dụng. Nếu bạn biết tất cả những điều đó, bạn có thể thử nghiệm cách tiếp cận hiệu quả nhất.