SAND Lab, University of Chicago Antes e depois das fotos de Jessica Simpson (esq.), Gwyneth Paltrow (centro) e Patrick Dempsey (dir.), encobertas pela equipe de Fawkes

Nos últimos anos, as empresas têm vasculhado a web em busca de fotos públicas associadas aos nomes das pessoas, que podem ser usadas para criar enormes bancos de dados de rostos e melhorar seus sistemas de reconhecimento facial, aumentando a crescente sensação de que a privacidade pessoal está sendo perdida pouco a pouco a cada bit.

Uma startup chamada Clearview AI, por exemplo, coletou bilhões de fotos online para criar uma ferramenta para a polícia que poderia levá-los de um rosto para uma conta do Facebook, revelando a identidade de uma pessoa.

Agora, os pesquisadores estão tentando despistar esses sistemas. Uma equipe de engenheiros de computação da Universidade de Chicago desenvolveu uma ferramenta que disfarça fotos com alterações nos pixels que confundem os sistemas de reconhecimento facial.

Chamado de Fawkes, em homenagem à máscara de Guy Fawkes, uma das preferidas por manifestantes em todo o mundo, o software foi disponibilizado aos desenvolvedores no site dos pesquisadores no mês passado. Depois de ser descoberto pelo Hacker News, ele foi baixado mais de 50 mil vezes. Os pesquisadores estão trabalhando em uma versão gratuita para quem não é programador e esperam torná-la disponível em breve.

O software não pretende ser apenas uma ferramenta exclusiva para pessoas que amam a privacidade. Se implantado em milhões de imagens, seria uma barreira contra os sistemas de reconhecimento facial, estragando a precisão dos conjuntos de dados coletados da web.

"Nosso objetivo é fazer com que a Clearview desapareça", disse Ben Zhao, professor de ciência da computação na Universidade de Chicago.

Fawkes converte uma imagem — ou a "disfarça", na linguagem dos pesquisadores — alterando sutilmente alguns dos recursos dos quais os sistemas de reconhecimento facial dependem quando constroem a impressão facial de uma pessoa. Em um trabalho de pesquisa, relatado anteriormente pelo OneZero, a equipe descreve o "disfarce” de fotos da atriz Gwyneth Paltrow usando o rosto do ator Patrick Dempsey, para que um sistema que aprenda a aparência de Gwyneth com base nessas fotos comece a associá-la a alguns dos traços do rosto de Dempsey.

As mudanças, geralmente sutis e não perceptíveis a olho nu, impediriam o sistema de reconhecer Gwyneth quando fosse usada uma foto real, sem nenhuma alteração. Nos testes, os pesquisadores conseguiram enganar os sistemas de reconhecimento facial de Amazon, Microsoft e da empresa de tecnologia chinesa Megvii.

SAND Lab, University of Chicago Fawkes usou o rosto de Dempsey para fotos de Paltrow, para que um sistema que usasse essas imagens começasse a associá-la a alguns dos recursos do rosto do ator

Para testar a ferramenta, pedi à equipe que alterasse algumas imagens minhas e da minha família. Depois, publiquei os originais e as imagens com alterações no Facebook para ver se elas enganaram o sistema de reconhecimento facial da rede social. Funcionou: o Facebook me marcou na foto original, mas não me reconheceu na versão disfarçada.

No entanto, as mudanças nas fotos eram visíveis a olho nu. Nas imagens alteradas, eu parecia macabra, minha filha de 3 anos tinha algo no rosto que lembrava uma barba e meu marido parecia ter um olho roxo.

Os pesquisadores tinham algumas explicações para isso. Uma é que o software foi projetado para combinar o usuário com o modelo de rosto de alguém que pareça ser o mais diferente possível, retirando as informações de um banco de dados de rostos de celebridades. Isso geralmente acaba sendo uma pessoa do sexo oposto, o que leva a problemas óbvios.

"As mulheres adquirem bigodes e os homens ganham cílios extras ou sombra nos olhos", disse Zhao. Ele está entusiasmado com o que chama de “armadura de privacidade” e já havia ajudado a projetar uma pulseira que impede que smart speakers ouçam conversas secretamente.

The New York Times À esquerda, as imagens originais da repórter e, à direita, as versões "camufladas"

A equipe diz que planeja ajustar o software para que deixe de mudar sutilmente o sexo dos usuários.

A outra questão é que meu experimento não foi o que a ferramenta foi projetada para fazer, então Shawn Shan, um doutorando da Universidade de Chicago e um dos criadores do software Fawkes, fez as alterações nas minhas fotos o mais exagerado possível para garantir que funcionasse. O Fawkes não pretende impedir que um sistema de reconhecimento facial como o do Facebook reconheça alguém em uma única foto. Ele está tentando corromper sistemas de reconhecimento facial de maneira mais ampla, realizando um ataque algorítmico chamado de envenenamento de dados.

Os pesquisadores disseram que, idealmente, as pessoas começariam a disfarçar todas as imagens que publicarem. Isso significaria que uma empresa como a Clearview, que se alimenta a partir dessas fotos, não seria capaz de criar um banco de dados, porque uma foto não identificada de você do mundo real não corresponderia ao modelo que a Clearview teria construído ao longo do tempo a partir de suas fotos online .

Mas o CEO da Clearview, Hoan Ton-That, executou uma versão do meu experimento no Facebook no aplicativo da Clearview e disse que a tecnologia não interferia em seu sistema. Na verdade, ele disse que sua empresa poderia usar imagens disfarçadas pelo Fawkes para melhorar sua capacidade de entender imagens alteradas.

"Existem bilhões de fotos não modificadas na internet, todas em diferentes nomes de domínio", disse Ton-That. "Na prática, é quase certo de que seja tarde demais para aperfeiçoar uma tecnologia como o Fawkes e implantá-lo em escala".

Amr Alfiky/The New York Times Hoan Ton-That, executivo-chefe da Clearview AI, usando o aplicativo para smartphone

Tarde demais?

Outros especialistas também estavam céticos quanto ao fato de o Fawkes funcionar. Joseph Atick, um pioneiro em reconhecimento facial que lamentou a sociedade de vigilância que ajudou a criar, disse que o volume de imagens de nós mesmos que já tínhamos disponibilizado seria muito difícil de derrotar.

"Precisamos contar a verdade. Nossas imagens já estão por aí ", disse Atick. "Embora eu incentive esse tipo de pesquisa, sou altamente cético de que essa seja uma solução para resolver o problema que enfrentamos."

Elizabeth Joh, professora de direito da Universidade da Califórnia, Davis, escreveu sobre ferramentas como o Fawkes como "protestos de privacidade", nas quais indivíduos querem impedir a vigilância, mas não por razões criminais. Ela viu repetidamente o que chamou de “rubrica cansada” de vigilância, depois contra-vigilância e, então, anti contra-vigilância, à medida que novas tecnologias de monitoramento são iniciadas.

“As pessoas estão sentindo uma sensação de exaustão de privacidade", disse Elizabeth. "Existem muitas maneiras pelas quais nosso senso convencional de privacidade está sendo explorado na vida real e online."

Para que o Fawkes tenha um efeito imediato, precisaríamos que todas as fotos que já postamos de nós mesmos fossem disfarçadas da noite para o dia. Isso poderia acontecer se uma enorme plataforma que mantivesse um grande número de imagens online decidisse implantar o sistema Fawkes em todo o mundo.

A adoção do Fawkes por uma plataforma como o Facebook impediria que, no futuro, a Clearview se alimentasse das imagens de seus usuários para identificá-los. "Eles poderiam dizer: 'Dê-nos suas fotos reais, vamos escondê-las e depois as compartilharemos com o mundo para que você fique protegido'", disse Zhao.

Jay Nancarrow, porta-voz do Facebook, não descartou essa possibilidade quando solicitado a fazer um comentário sobre a ideia. "Como parte de nossos esforços para proteger a privacidade das pessoas, temos uma equipe dedicada a explorar esse tipo de tecnologia e outros métodos para evitar o uso indevido de fotos", disse Nancarrow.

"Atualmente, estou fazendo estágio nessa equipe no Facebook", disse Shan, cocriador do Fawkes. / TRADUÇÃO DE ROMINA CÁCIA