Pesquisadores usam remendos para ‘esconder’ pessoas de detectores de AI
O próximo passo será imprimir o chamado “adversarial patch” em camisetas para testar sua eficácia
Pesquisadores da universidade Katholieke Universiteit Leuven demonstraram como um patch impresso pequeno e quadrado pode ser usado como um tipo de “dispositivo de camuflagem” para esconder pessoas de detectores de objetos com Inteligência Artificial (AI).
Nos últimos anos, as Redes Neurais por Convolução (CNNs) tornaram-se altamente eficazes no reconhecimento de pessoas em imagens e vídeos. Elas aprendem como um ser humano se parece examinando milhares de imagens de pessoas.
Mas essas redes podem ser enganadas – e os pesquisadores demonstram isso no artigo intitulado “Enganando câmeras de vigilância automatizadas: remendos adversários para atacar a detecção de pessoas” – com um ‘remendo adversário’ de 40 cm por 40 cm.
Em seu artigo, os pesquisadores Simen Thys, Wiebe Van Ranst e Toon Goedeme concentram-se no popular detector de objetos YOLOv2. Eles usam uma série de truques para enganar o detector.
“Fizemos isso otimizando uma imagem para minimizar diferentes probabilidades relacionadas à aparência de uma pessoa na saída do detector. Em nossos experimentos, comparamos diferentes abordagens e descobrimos que minimizar o desaparecimento de objetos criou as remendos mais eficazes”, escrevem.
Eles então imprimiram seus remendos otimizados e as testaram filmando as pessoas que os seguravam. Os pesquisadores descobriram que os adesivos funcionavam “muito bem” desde que estivessem posicionados corretamente.
“A partir dos nossos resultados, podemos ver que o nosso sistema é capaz de diminuir significativamente a precisão de um detector de pessoa… Na maioria dos casos, o nosso remendo consegue esconder a pessoa do detector com sucesso. Quando não é esse o caso, provavelmente ele não está alinhado ao centro da pessoa”, afirmaram os pesquisadores.
A técnica pode ser usada de forma “mal-intencionada para contornar sistemas de vigilância”, observam os pesquisadores, permitindo que intrusos “fujam sem serem detectados segurando uma pequena placa de papelão na frente de seu corpo, voltada para a câmera de vigilância”.
O grupo agora está planejando aplicar os remendos na roupa. “Acreditamos que, se combinarmos essa técnica com uma sofisticada simulação de roupas, poderemos criar uma estampa de camiseta que possa tornar uma pessoa virtualmente invisível para câmeras de vigilância automáticas”, disseram os pesquisadores.
O trabalho futuro se concentrará em tornar os patches mais robustos e transferíveis, já que eles não funcionam bem com diferentes arquiteturas de detecção, como o Faster R-CNN.
Em 2017, um grupo da Universidade de Washington, da Universidade de Michigan, da Stony Brook University e da Universidade da Califórnia, em Berkeley, demonstrou como enganar os classificadores de imagem, alterando os sinais de parada no mundo real.
Usando alguns adesivos em preto e branco – projetados para imitar o graffiti, e assim “se esconderem na psique humana” – os pesquisadores conseguiram fazer um classificador baseado em redes neurais ver um sinal de parada como um sinal de limite de velocidade 100% do tempo.