Skip to main content
QUICK REVIEW

[论文解读] Deep perceptual hashing algorithms with hidden dual purpose: when client-side scanning does facial recognition

Shubham Jain, Ana-Maria Creţu|arXiv (Cornell University)|May 22, 2023
Face recognition and analysis被引用 2
一句话总结

该论文表明,用于客户端扫描系统的深度感知哈希算法可被隐蔽地训练以执行对特定个体的面部识别,而不会影响其检测非法图像副本的主要功能。作者展示了双用途模型在目标个体上实现了67%的面部识别召回率,同时在图像复制检测中保持95%的精确率,通过对抗性训练隐藏了次要功能,并通过在数据库中添加一张被污染的图像即可激活该功能。

ABSTRACT

End-to-end encryption (E2EE) provides strong technical protections to individuals from interferences. Governments and law enforcement agencies around the world have however raised concerns that E2EE also allows illegal content to be shared undetected. Client-side scanning (CSS), using perceptual hashing (PH) to detect known illegal content before it is shared, is seen as a promising solution to prevent the diffusion of illegal content while preserving encryption. While these proposals raise strong privacy concerns, proponents of the solutions have argued that the risk is limited as the technology has a limited scope: detecting known illegal content. In this paper, we show that modern perceptual hashing algorithms are actually fairly flexible pieces of technology and that this flexibility could be used by an adversary to add a secondary hidden feature to a client-side scanning system. More specifically, we show that an adversary providing the PH algorithm can “hide” a secondary purpose of face recognition of a target individual alongside its primary purpose of image copy detection. We first propose a procedure to train a dual-purpose deep perceptual hashing model by jointly optimizing for both the image copy detection and the targeted facial recognition task. Second, we extensively evaluate our dual-purpose model and show it to be able to reliably identify a target individual 67% of the time while not impacting its performance at detecting illegal content. We also show that our model is neither a general face detection nor a facial recognition model, allowing its secondary purpose to be hidden. Finally, we show that the secondary purpose can be enabled by adding a single illegal looking image to the database. Taken together, our results raise concerns that a deep perceptual hashing-based CSS system could turn billions of user devices into tools to locate targeted individuals.

研究动机与目标

  • 调查用于客户端扫描(CSS)的深度感知哈希(PH)模型是否可被隐蔽地重新用于特定个体的面部识别。
  • 解决强制采用基于PH的CSS系统可能带来的隐私风险,即攻击者可利用该系统定位目标个体。
  • 证明可在不使PH模型成为通用面部识别系统的情况下,将其嵌入次要的面部识别功能。
  • 展示仅通过向数据库中添加一张恶意图像即可激活隐藏的面部识别功能。
  • 评估双用途模型在图像复制检测和目标面部识别任务上的性能。

提出的方法

  • 使用对比损失和跨批次内存联合优化图像复制检测和目标面部识别,训练深度感知哈希模型。
  • 采用专门的训练流程,通过将目标人脸嵌入在潜在空间中的特定码书向量上,嵌入隐藏的面部识别能力。
  • 引入类似后门的机制,使模型学会将目标个体的面部与特定的哈希表示相关联,而不会影响主要任务的泛化能力。
  • 通过向训练数据集中注入一张目标个体的“被污染”图像,实现次要功能,且不改变模型的主要功能。
  • 使用标准指标评估模型在图像复制检测(精确率、召回率、F1)和面部识别(召回率、百万分之一错误率、F1分数)上的表现。
  • 通过在非目标个体和非人脸图像上进行测试,确保模型不具备通用面部检测或面部识别能力。

实验结果

研究问题

  • RQ1是否可以训练一个深度感知哈希模型,在保持高图像复制检测性能的同时,实现对目标个体的面部识别?
  • RQ2是否可能在不使PH模型成为通用面部识别系统的情况下,将其嵌入隐藏的面部识别功能?
  • RQ3仅通过向数据库中添加一张恶意图像,是否可以激活次要的面部识别功能?
  • RQ4双用途模型在主要图像复制检测任务上的性能会下降到何种程度?
  • RQ5在不同规模的训练数据下,隐藏的面部识别功能在识别目标个体方面的有效性如何?

主要发现

  • 当使用100张训练图像时,双用途模型在目标个体上的面部识别召回率达到67.2%,错误率为每百万82.7个假阳性。
  • 模型在图像复制检测任务中保持95.8%的精确率和43.8%的召回率,与单一功能模型相比性能下降极小。
  • 即使将目标个体的训练图像减少至25张,面部识别性能仍保持稳定,召回率达到34.7%。
  • 模型不具备通用面部识别能力,因为它在非目标个体上的检测召回率仅为0.3%,且在非人脸图像上无任何假阳性。
  • 仅通过向数据库中添加一张外观非法的目标个体图像,即可激活隐藏的面部识别功能,实现大规模监控而不会被察觉。
  • 当使用100张图像训练时,双用途模型在面部识别任务上的F1得分为51.2%,表明其具备可靠但非完美的次要功能。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。