Комментарии 7
Я правильно понимаю, что одна такая атака наиболее эффективна только против конкретной архитектуры нейросети с конкретными весами? И конкретно в этом случае McAfee атаковала белый ящик, иными словами, зная, какие пиксели в каких соотношениях CycleGAN должен модифицировать?
То есть если использовать для идентификации несколько различающихся меж собой нейросеток, то вероятность успешной атаки на систему из нескольких нейросеток будет ниже или близка к нулю?
В глобальном смысле все указанные нейронки стремятся к решению некоторой численной задачи не решаемой аналитически. И если они хорошие, они стремятся к одному и тому же решению, минимизирующему ошибку. Так что вполне возможно научившись бороться с одной нейронкой, это подействует с высокой вероятностью и на другие.
Примерно да, этот "прорыв" от McAfee ради хайпа, ибо сливают.
Так и живого человека можно обмануть. А ещё есть просто похожие люди.
Я что-то не пойму как эта атака будет работать если эти "модифицированные" фото будут обрабатывать ся пастеризирующим фильтром.
Достаточно использовать хорошие системы распознавания. Например, Белорусские.
В McAfee преобразовали фото так, что система распознавания лиц приняла одного человека за другого