Veřejné kamerové systémy s počítačovým viděním a rozpoznáváním osob sice mohou snadno identifikovat třeba nebezpečné kriminálníky na letišti, celý systém lze ale stejným způsobem zneužít k potírání politické opozice. Krásným případem je Čína a situace v Hongkongu.

Vědci z Ben Gurionovy univerzity v Negevu si proto položili otázku (Arxiv, PDF), jestli by se nedaly podobné systémy s rozpoznáváním konkrétní osoby zmást. Jistě, takových experimentů už tu byla hromada, většinou se ale jednalo o v praxi nepoužitelné metody.

Jak zmást detektor člověka

Experimentálně umíme překonat počítačové detektory třeba tak, že si figurant oblékne speciální oděv, anebo si na tvář nakreslí nejrůznější divoké obrazce.



Speciální vzory na tričku, které matou detekční algoritmy AI

Počítač to sice opravdu zmate, ovšem takový člověk by byl ve veřejném prostoru natolik nápadný, že by si ho prakticky okamžitě všiml operátor bezpečnostního systému a poslal k němu hlídku.

Tak dlouho měnili mejkap, až překonali AI

Tým z Izraele se inspiroval podobným mechanizmem, ale šel na to opačně. Namísto divokých vzorů hledal způsob, kterého si člověk nevšimne, ale stroj zkolabuje.

Výzkumníci proto nejprve sledovali, jak fungují běžně používané a patřičně zdokumentované detekční algoritmy AI, které pak povětšinou v různých implementacích nasazují i výrobci chytrých kamer.

Brzy zjistili, podle kterých prvků v tváři (pixelů) se software při identifikaci rozhoduje, no a pak tyto drobné nuance začali na počítači postupně měnit. A to tak dlouho, dokud detekční mechanizmus neselhal a konkrétní osobu už nedokázal rozpoznat.



Na horním snímku detektor rozpozná konkrétní osobu. Ve střední části vědci zjistili, podle čeho se detektor rozhoduje a tvář s přesností hodináře upravili pleťovým mejkapem. Na spodním snímku stejnou osobu už AI detektor nerozpozná, byť pro člověka vypadá stále stejně.

Kupodivu k tomu nebylo potřeba nasadit osobě paruku a změnit ji k nepoznání, ale jen upravit nějaké ty stíny ve tváři. Stručně řečeno, stačilo přidat trošku digitálního mejkapu – byť na míru konkrétnímu detekčnímu mechanizmu.

Osoba vypadala stále stejně a na ulici by nebudila žádný poprask, testované algoritmy nicméně v drtivé většině případů a při zkouškách v terénu naprosto selhaly.

Jak je to možné? AI detektor funguje jinak

Neuronové sítě sice mohou konkrétního člověka v obrazu z kamery identifikovat mnohem rychleji než člověk, to ale ani v nejmenším neznamená, že jsou snad chytřejší – tedy alespoň v pravém slova smyslu. Spíše naopak.



Tak dlouho softwarově měnili mejkap, až se trefili do toho správného, který zmate chytrou kameru. Ten pak aplikovali i na skutečnou figurantku v terénu

Náš mozek funguje úplně jinak a lidskou tvář vnímáme jako celek. Stroj naopak vidí jen shluk digitálních čísel představující barvy pixelů, takže může jednotlivé osoby rozlišovat na základě úplně odlišných vah, které jsou pro nás zase naprosto zbytné a nedůležité – prakticky neviditelné.

Právě na tyto váhy se zaměřili vědci, no a když je mejkapem chytře obalamutili, stroj už člověka nedokázal rozpoznat, zatímco pro nás by to stále byla paní Monika z Berouna.

Policista ji pozná, stroj už ne

Jistě, takovou Moniku by na ulici stále poznal policista s fotografií hledané osoby v ruce, nicméně žena by už byla téměř neviditelná pro masovou strojovou analýzu obrazu z kamer.

Experiment proto ukazuje, že detekční technologie jsou principiálně stále daleko za člověkem, což je nakonec asi i dobře, nikdy totiž nevíte, kdo se bude chtít dívat.