機器學習（ML）系統不僅影響我們日常生活的技術中得到普及，而且在包括人臉表情識別系統在內的觀察技術中也變得越來越普遍。提供和使用這種廣泛部署的服務的公司依賴于所謂的隱私保護工具，這些工具通常使用生成對抗網絡（GAN），該網絡通常由第三方生產，以識別個人身份圖像。

紐約大學丹頓工程學院的研究人員探索了這些工具背后的機器學習框架，發現答案不是“非常正確”。在上個月于第35屆AAAI人工智能大會上發表的論文“顛覆保護隱私的GAN：隱藏經過消毒的圖像中的秘密”中，由紐約大學丹登分校電氣與計算機工程學院副教授Siddharth Garg領導的團隊探討了是否私人數據仍然可以從通過隱私保護GAN（PP-GAN）等深度學習識別器“消毒”過的圖像中恢復，甚至可以通過經驗測試。該團隊的主要作者包括劉康博士。候選人和電氣與計算機工程研究助理教授本杰明·坦（Benjamin Tan）發現，PP-GAN設計實際上可以被顛覆以通過隱私檢查，同時仍然允許從經過消毒的圖像中提取秘密信息。

基于機器學習的隱私工具具有廣泛的適用性，可能在任何對隱私敏感的領域中都可以使用，包括從車輛攝像頭數據中刪除與位置相關的信息，混淆產生手寫樣本的人的身份或從圖像中刪除條形碼。由于涉及的復雜性，基于GAN的工具的設計和培訓已外包給供應商。

Garg說：“許多用于保護可能出現在監視或數據收集攝像頭中的人的隱私的第三方工具都使用這些PP-GAN來操縱圖像。” “這些系統的版本旨在清理面部和其他敏感數據的圖像，以便僅保留應用程序關鍵信息。盡管我們的對手PP-GAN通過了所有現有的隱私檢查，但我們發現它實際上隱藏了與敏感數據有關的秘密數據屬性，甚至可以重建原始的私人圖片。”

該研究提供了PP-GAN和相關的經驗性隱私檢查的背景，制定了攻擊方案以詢問是否可以顛覆經驗性隱私檢查，并概述了規避經驗性隱私檢查的方法。該團隊對保留隱私的GAN進行了首次全面的安全性分析，并證明了現有的隱私檢查不足以檢測敏感信息的泄漏。

他們使用一種新穎的隱寫術方法，以對抗方式修改了最新的PP-GAN，以從據說經過消毒的面部圖像中隱藏秘密（用戶ID）。

他們表明，他們提出的對抗性PP-GAN可以成功地在“經過消毒”的輸出圖像中隱藏敏感屬性，這些圖像通過了隱私檢查，秘密恢復率達到了100％。

Garg和他的合作者注意到經驗指標取決于歧視者的學習能力和培訓預算，因此認為這種隱私檢查缺乏必要的嚴格性來保證隱私。

Garg解釋說：“從實際的角度來看，我們的結果表明對使用數據清理工具（特別是第三方設計的PP-GAN）要謹慎。” “我們的實驗結果強調了現有基于DL的隱私檢查的不足以及使用不受信任的第三方PP-GAN工具的潛在風險。”
編輯：lyn