Home Notizie recenti Imparare a rompere l’hashing percettivo profondo

Imparare a rompere l’hashing percettivo profondo

20
0

Per mettere alla prova il sistema, i ricercatori hanno definito immagini di cani come “pericoloso” e modificato altri motivi fotografici – come quello della gazza mostrato a sinistra – in modo che (come a destra) la sua impronta digitale corrispondesse a quella dell’immagine di un cane. All’occhio umano, entrambe le foto sembrano identiche. Credito: https://arxiv.org/abs/2111.06628

I metodi di intelligenza artificiale (AI) possono rilevare in modo affidabile immagini pedopornografiche sui dispositivi finali?

Uno studio in cui è stato coinvolto l’informatico di Oldenburg Daniel Neider solleva dubbi sul fatto che ciò sia attualmente possibile. La ricerca è stata pubblicata in Atti della Conferenza ACM 2022 sull’equità, la responsabilità e la trasparenza.

Qui, Neider discute le sue scoperte:

Signor Neider, ha uno scanner antivirus sul suo computer?

Penso che ogni computer Windows sia dotato di un programma antivirus, quindi sì.

L’anno scorso Apple ha installato il suo programma NeuralHash, che scansiona automaticamente i file di immagine alla ricerca di materiale pedopornografico, sui dispositivi finali. Funziona in modo simile a un programma antivirus?



NeuralHash fa qualcosa di simile, anche se il modo in cui funziona è diverso: il software scansiona i dispositivi finali alla ricerca di un tipo specifico di contenuto, non, come con i programmi antivirus, alla ricerca di malware, ma di immagini illegali. Questo è noto come scansione lato client, che si riferisce alla scansione di file sul dispositivo dell’utente.

Come funziona esattamente NeuralHash?

Il programma si basa su metodi di intelligenza artificiale e utilizza le cosiddette reti neurali. In parole povere, è un programma per computer addestrato a riconoscere determinati schemi nelle immagini. Il programma assegna una sorta di codice a ciascuna immagine, fondamentalmente una sequenza di numeri e lettere. Questi codici sono chiamati hash. Puoi immaginarli come impronte digitali generate per ogni immagine. Il trucco è che alle immagini che sembrano simili viene assegnato lo stesso hash, quindi, ad esempio, a tutte le immagini con gatti neri potrebbe essere assegnato l’hash 3x580ac97e. Apple dispone di un ampio database di tali hash, che possono essere assegnati a immagini pedopornografiche. E ogni volta che un utente tenta di caricare un’immagine con un hash che si trova nel database, l’immagine viene contrassegnata senza che l’utente se ne accorga. Tali immagini non possono essere inoltrate.

Significa che Apple sa quali immagini ci sono sul mio cellulare?

No, Apple non guarda le immagini. Ha solo il database con i codici. L’idea è che l’azienda collabori con le organizzazioni per la protezione dell’infanzia. E sulla base del materiale proveniente dalle forze dell’ordine, queste organizzazioni utilizzano un programma per generare hash per il database.

Hai analizzato NeuralHash in un progetto di ricerca con i colleghi dell’Università tecnica di Darmstadt. Come è nato il progetto?

Le reti neurali non funzionano sempre nel modo in cui pensiamo che funzionino. La tecnologia è molto promettente, ma non è sempre accurata al cento per cento. Spesso è difficile scoprire perché fornisce un certo risultato, perché la procedura non è stata programmata in modo esplicito. In linea di principio, questa tecnologia ha semplicemente imparato a riconoscere determinati schemi nei dati. Tuttavia, questo può anche essere sfruttato per ingannare il programma e funziona con una frequenza allarmante. Quindi ci siamo chiesti: in che modo questo incide su un sistema destinato a essere utilizzato per valutare i contenuti illegali? Cosa succede se modifichi leggermente le immagini, ad esempio?

Perché ti sei concentrato su NeuralHash?

Nel 2021, Apple ha consegnato un prototipo di NeuralHash insieme a un aggiornamento del sistema operativo per i dispositivi finali, in pratica tutti i dispositivi in ​​grado di inviare foto al servizio di archiviazione cloud iCloud, come iPhone o Mac. Il prototipo non era ancora attivato, quindi il programma non ha iniziato a controllare le immagini sui dispositivi Apple. Ma questa mossa ci ha messo a disposizione la tecnologia; siamo stati in grado di estrarre il programma e quindi di accedere alla rete neurale. Volevamo dare un’occhiata a come una grande azienda avrebbe affrontato un compito del genere. Apple in seguito si è astenuta dal lanciare ufficialmente NeuralHash a causa delle massicce critiche alla sorveglianza di massa e all’invasione della privacy che comportava.

Cosa hai testato esattamente?

Abbiamo testato come si potrebbe abusare del sistema. Per evitare di dover lavorare con materiale pedopornografico, abbiamo definito le immagini dei cani come “pericoloso”. Quindi abbiamo calcolato il loro “impronte digitali”. Nel primo scenario, abbiamo preso immagini di altre cose, ad esempio un gatto, e abbiamo provato a modificarle leggermente in modo che il risultato fosse un “impronta digitale” di un cane.

Ha funzionato?

Sì, e si è rivelato relativamente facile. Hai bisogno dell’accesso alla rete neurale, che avevamo perché il programma era installato sui dispositivi, e hai bisogno di una certa conoscenza di come funziona l’apprendimento automatico. Ma poi è abbastanza facile alterare le immagini del gatto in modo che generino qualsiasi altro hash. All’occhio umano, le foto manipolate sembrano quasi come l’originale, non puoi davvero dire la differenza.

Come ingannare le reti neurali // Università di Oldenburg

A destra, l’immagine del cane definita come “pericoloso” abbiamo una base di prova. A causa delle differenze visibili tra le due immagini della gazza a sinistra, il sistema ha lanciato l’allarme per la foto che era stata alterata in questo modo. Chiunque abbia familiarità con l’apprendimento automatico potrebbe farlo “relativamente facilmente” gioca brutti scherzi con il sistema, dice Neider. Credito: https://arxiv.org/abs/2111.06628

Ed è allora che le cose si fanno problematiche…

Destra. Perché potrei inviarti una foto manipolata e nel momento in cui provi a caricarla sul tuo cloud o a inviarla a qualcun altro tramite un’app di messaggistica, il sistema si attiva senza che tu te ne accorga. Non sai nemmeno perché la funzione di caricamento o inoltro è bloccata. Ma il vero problema è che Apple nota anche che hai provato a inviare un’immagine sospetta. E se ciò accade troppo spesso, Apple decifra il materiale e, se ritenuto necessario, lo segnala alle forze dell’ordine locali. Ciò significa che il materiale potrebbe essere piantato su qualcuno per incriminarlo.

Cos’altro hai testato?

Abbiamo anche posto la domanda opposta: posso bypassare il sistema? Posso manipolare un’immagine con un’impronta digitale nel database in modo tale da generare un’impronta digitale diversa? In uno scenario, abbiamo nuovamente ipotizzato che l’utente abbia accesso all’IA tramite il proprio dispositivo, abbia familiarità con la rete neurale e abbia una certa conoscenza dell’apprendimento automatico.

E le immagini possono essere manipolate per farle sembrare insospettabili?

Sì, funziona molto bene. Ma quello che abbiamo anche scoperto è che anche se non si ha accesso al sistema e si apportano modifiche molto semplici a una foto che chiunque può fare con il proprio cellulare, è possibile ingannare il programma. Ad esempio, semplicemente ruotando un’immagine di 90 gradi è possibile modificare sostanzialmente la “impronta digitale”. Questo, ovviamente, non va bene, perché puoi annullare questa modifica semplicemente ruotando l’immagine di 90 gradi nell’altra direzione. L’intera informazione contenuta nell’immagine viene conservata. Questo dimostra che è relativamente facile ingannare il sistema.

Quali conclusioni trai dallo studio?

A mio avviso, al momento non sappiamo abbastanza sulle reti neurali per poterle utilizzare in sicurezza. Questi programmi non sono abbastanza robusti per compiti così delicati, come abbiamo visto in questo caso di studio. Inoltre, a mio avviso, i legislatori non dovrebbero fare affidamento su programmi sviluppati da aziende come Apple o Facebook in risposta a una legge per fare la cosa giusta. Ad esempio, c’è il pericolo che queste aziende blocchino più contenuti del necessario, come misura preventiva, per così dire, per evitare di mettersi nei guai e di dover pagare multe salate. Qualcosa di simile sta già accadendo in reazione alla Network Enforcement Law (nota anche come Facebook Act).

Quindi non dovremmo usare la tecnologia per impedire automaticamente il caricamento di immagini indicizzate?

Al contrario, io e i miei colleghi siamo anche favorevoli all’uso della tecnologia per combattere la pedopornografia. Ma pensiamo che sia importante che ci sia un discorso pubblico su cosa può fare il riconoscimento delle immagini utilizzando le reti neurali, cosa non può fare e cosa siamo disposti ad accettare come danno collaterale. Dal nostro punto di vista si tratta sempre di soppesare pro e contro: se è così facile ingannare un programma, è davvero giustificabile installarlo sui dispositivi di tutti? Dopotutto, c’è il rischio di falsi allarmi. Allo stesso tempo, chiunque lo desideri può bypassare il sistema in modo relativamente semplice. Quindi in realtà non fa più male che bene? Naturalmente, non spetta a noi informatici prendere le decisioni qui. Il nostro contributo è quello di evidenziare i problemi con la tecnologia in modo che una discussione significativa possa aver luogo su quella base.


Fornito da Carl von Ossietzky Universität Oldenburg

Articolo precedenteLa ripresa del mercato del lavoro globale dalla pandemia di Covid-19 è ora a rischio
Articolo successivoI ricercatori studiano l’efficacia delle strategie di comunicazione con i pazienti gravemente malati