Verzerrungs-Algorithmus Fawkes will Gesichtserkennung verhindern
Eine Cloaking-Software soll Fotos für Betrachter unmerklich so manipulieren, dass Gesichtserkennungssysteme daran scheitern.
(Bild: Neosiam32896395/Shutterstock.com)
- Susanne Nolte
Eine Forschergruppe des SAND Lab an der Universität Chicago hat einen Algorithmus entwickelt, der Fotos für Gesichtserkennungssysteme unbrauchbar macht, ohne dass menschliche Betrachter einen Unterschied merken. Benannt haben sie den Algorithmus und die damit arbeitende Software Fawkes nach den von Anonymous-Aktivisten getragenen Guy-Fawkes-Masken.
Der Verzerrungs- oder Cloaking-Algorithmus nimmt minimale Änderungen auf Pixelebene vor, durch die Gesichtserkennungsmodelle eine stark verzerrte Version des Original errechnen. Da die Verzerrungen beim Modelltraining keine Fehler verursachen, sind sie auch schwer zu erkennen. Eine vom Computer vorgenommene Identifizierung der Person anhand des veränderten Bilds schlägt dann fehl.
Die Entwicklung richtet sich vor allem gegen unautorisierte Gesichtserkennung, namentlich gegen die Praxis der Firma Clearview AI, die ohne das Wissen der Betroffenen das Internet nach Fotos durchsucht, aus den öffentlich zugänglichen Bildern eine riesige Gesichtserkennungsdatenbank aufbaut und damit hochpräzise Gesichtserkennungsmodelle von Personen trainiert.
Open Source und rechenhungrig
Das Open-Source-Programm Fawkes ist in Python geschrieben und läuft auf der Kommandozeile. Mit ihm können nicht nur Privatpersonen ihre eigenen Bilder, sondern auch Firmen die auf ihren Webseiten veröffentlichten Fotos ihrer Mitarbeiter gegen eine nicht autorisierte Gesichtserkennung impfen.
Die Binaries für Linux, macOS und Windows stehen auf der Fawkes-Webseite des SAND Lab bereit, ebenso das Technical Paper "Fawkes: Protecting Privacy against Unauthorized Deep Learning Models", das die Entwickler Mitte August auf dem USENIX Security Symposium vorstellen wollen. Die Fawkes-Quellen sind auf GitHub zu finden. Die Forscher arbeiten bereits an einer GUI-Version für macOS und Windows. Da die Software einiges an Rechenpower verlangt, kann man sie beim Aufruf an bestimmte GPUs binden. Aus diesem Grund ist auch keine mobile Version vorgesehen.
Getestet haben die Forscher ihren Algorithmus mit den Gesichtserkennungsmodellen von Microsoft Azure, Amazon Rekognition und Face++. In keinem einzigen Fall sollen die Gesichtserkennungssysteme, nachdem sie mit den veränderten Bildern trainiert wurden, eine Übereinstimmung mit unveränderten Bildern einer Person gefunden haben. Dennoch befindet sich der Algorithmus noch im Forschungsstadium. (sun)