Zadaj pytanie

Co to jest Inference Attack?

Spis treści

Inference Attack - definicja

Inference Attack (atak wnioskowania) to kategoria ataków polegająca na wydobyciu tożsamości, atrybutów lub faktu udziału osoby w zbiorze danych z pośrednich sygnałów, nawet gdy dane zostały zanonimizowane lub zamaskowane. W ujęciu normatywnym pojęcie to odpowiada ryzyku wnioskowania oraz łączenia zbiorów opisanych w dokumentach ISO/IEC 20889:2018 i NISTIR 8053:2015, a także ryzyku tzw. inferowalności wskazanemu przez Grupę Roboczą Art. 29 (WP29) w opinii o technikach anonimizacji z 2014 r. (WP216). W kontekście obrazu i wideo dotyczy to m.in. prób ustalenia tożsamości osoby mimo zamazanej twarzy lub wywnioskowania danych z kontekstu kadru, metadanych lub zachowania systemu.

Rola ataków wnioskowania w anonimizacji zdjęć i wideo

W przetwarzaniu wizji komputerowej atak wnioskowania występuje, gdy mimo rozmycia twarzy lub tablic rejestracyjnych możliwe jest dojście do tożsamości lub atrybutów poprzez inne cechy: ubiór, chód, sylwetkę, relacje przestrzenne, odbicia, dźwięk, napisy, a także poprzez model AI (np. jego odpowiedzi lub parametry). Techniki deep learning są niezbędne do budowy modeli wykrywania twarzy i tablic, które zasilają proces zamazywania. Te same klasy modeli mogą jednak zostać użyte ofensywnie (np. do rekonstrukcji lub klasyfikacji atrybutów), co tworzy wektor ataku wnioskowania przeciwko materiałom już poddanym obróbce.

Ryzyko istotnie zależy od modelu atakującego: jego dostępu do oryginałów, stopnia obróbki (moc rozmycia, rozmiar maski), spójności maskowania w czasie oraz ewentualnego dostępu do parametrów modelu użytego do anonimizacji. Redukcję powierzchni ataku zapewnia przetwarzanie on-premise oraz brak gromadzenia logów zawierających detekcje lub inne sygnały identyfikujące.

Technologie i wektory ataku wnioskowania

Ataki wnioskowania w obrazie i wideo obejmują różne klasy zagrożeń. Poniższa tabela porządkuje główne typy i ich kontekst dla anonimizacji twarzy i tablic rejestracyjnych.

Typ ataku

Opis skrócony

Przykład w obrazie/wideo

Źródło danych atakującego

 

Łączenie zbiorów (linkage)

Dołączenie danych z innego źródła w celu identyfikacji

Dopasowanie sylwetki, ubioru i lokalizacji do nagrań z mediów społecznościowych

Publiczne zdjęcia, rejestry wydarzeń, geolokalizacja

Inferencja atrybutów

Wnioskowanie cech osoby z kontekstu i cech wtórnych

Ustalenie miejsca pracy po logo na odzieży, ustalenie roli po uniformie

Cechy wizualne spoza zamaskowanej twarzy/tablicy

Model inversion

Odtworzenie informacji o danych wejściowych z parametrów/modelu

Rekonstrukcja przybliżonego wyglądu twarzy z modelu rozpoznawania

Wagi modelu, interfejs predykcyjny

Membership inference

Stwierdzenie, czy dany obraz był w zbiorze uczącym

Wykrycie, że konkretna twarz była użyta do treningu modelu

Statystyki odpowiedzi modelu, prawdopodobieństwa

Deobfuskacja

Próba odtworzenia zamazanej zawartości

Użycie super-rozdzielczości lub GAN do przybliżenia rysów twarzy

Obraz po obróbce, modele SR/GAN

Ryzyko membership inference zostało wykazane w literaturze dla modeli ML, m.in. Shokri et al. 2017 (IEEE S&P) oraz Nasr et al. 2019 (IEEE S&P). Wideo-specyficzne ryzyka deobfuskacji i wycieku atrybutów w obrobionych materiałach omówiono m.in. przez Raval, Machanavajjhala, Pan (NDSS 2017) oraz w analizach regulatorów dotyczących skuteczności anonimizacji.

Kluczowe parametry i metryki dla oceny ryzyka

Ocena podatności na inference attack powinna łączyć metryki prywatności i użyteczności. W praktyce warto mierzyć następujące wielkości i atrybuty.

  • Attack Success Rate (ASR) - odsetek udanych wnioskowań: ASR = liczba trafnych wniosków / liczba prób. Stosowane dla identyfikacji, atrybutów, członkostwa w zbiorze.
  • AUC/TPR-FPR dla ataków membership inference - miary rozróżnialności odpowiedzi modelu między danymi uczącymi a nieuczestniczącymi (Shokri et al., 2017).
  • Podobieństwo embeddingów twarzy przed/po obróbce - np. kosinusowa odległość wektorów z modelu ArcFace; spadek podobieństwa wskazuje na obniżenie ryzyka reidentyfikacji.
  • Pokrycie maską i budżet rozmycia - procent powierzchni twarzy/tablicy objęty maską oraz parametry filtra (np. rozmiar jądra, standardowe odchylenie Gaussa). Wyższe pokrycie i silniejsze rozmycie z reguły zmniejszają skuteczność deobfuskacji.
  • Recall detekcji obiektów do anonimizacji - odsetek wykrytych twarzy/tablic we wszystkich klatkach. Błędy niewykrycia (FNR) tworzą najpoważniejsze wektory identyfikacji.
  • Stabilność maskowania w czasie - spójność pozycji i rozmiaru maski w kolejnych klatkach, by nie odsłaniać fragmentów przy ruchu.
  • Miary użyteczności - np. mAP zadań detekcji obiektów nieosobowych po obróbce, by kontrolować kompromis prywatność-użyteczność.

Wyzwania i ograniczenia w obrazie i wideo

Najtrudniejsze są przypadki, gdy tożsamość da się odtworzyć z elementów innych niż twarz lub tablica rejestracyjna. Rozpoznawanie postaci bez twarzy, identyfikacja z chodu oraz korelacja czasoprzestrzenna między źródłami zwiększają ryzyko wnioskowania. Słabe maskowanie (zbyt małe, niestabilne, o niskiej sile rozmycia) lub pozostawienie identyfikowalnych metadanych również je podnosi. Zbyt agresywna obróbka z kolei może uniemożliwić realizację celu materialu (np. audyt bezpieczeństwa).

Z perspektywy zgodności z RODO, celem jest osiągnięcie stanu, w którym identyfikacja osoby nie jest już możliwa przy użyciu rozsądnie prawdopodobnych środków (RODO, motyw 26). Wytyczne WP29/EROD (2014, WP216) podkreślają zagrożenia wnioskowaniem i łączeniem zbiorów dla skuteczności anonimizacji. W praktyce rozpowszechnianie wizerunku co do zasady wymaga zgody, z wyjątkami przewidzianymi w prawie cywilnym i autorskim (osoba publiczna, wizerunek jako szczegół całości, wynagrodzenie za pozowanie - por. art. 81 ustawy o prawie autorskim i prawach pokrewnych oraz art. 23-24 Kodeksu cywilnego).

Przykłady zastosowań i dobre praktyki ograniczania ryzyka

W systemach zamazywania twarzy i tablic rejestracyjnych warto łączyć środki techniczne i organizacyjne. Poniżej zwięzły zestaw praktyk istotnych dla ataków wnioskowania.

  • Silne i kompletne maskowanie regionów wrażliwych - maska obejmująca całą twarz/całą tablicę, stała w czasie, z odpowiednim marginesem. Czarny prostokąt lub pikselizacja o dużym stopniu redukują ryzyko rekonstrukcji w porównaniu z lekkim rozmyciem (WP29, 2014).
  • Usuwanie lub normalizacja metadanych - EXIF, geolokalizacja, znaczniki czasu umożliwiające łączenie zbiorów.
  • Ograniczenie kontekstu kadru - przy publikacji rozważne kadrowanie, aby uniknąć rozpoznawalnych elementów ubioru, identyfikatorów, odbić.
  • Hartowanie modeli - regularizacja i techniki prywatności (np. trening z prywatnością różnicową) w modelach uczenia maszynowego, aby ograniczyć ryzyko membership/model inversion.
  • Przetwarzanie on-premise i brak zbędnych logów - minimalizacja ekspozycji interfejsów oraz brak logów z wynikami detekcji zmniejszają powierzchnię ataku.
  • Tryb manualny dla elementów niewykrywanych automatycznie - logotypy, tatuaże, identyfikatory imienne i zawartości ekranów należy maskować ręcznie w edytorze, jeśli mogą umożliwić wnioskowanie.

W narzędziach klasy Gallio PRO automatyzacja dotyczy twarzy i tablic rejestracyjnych, co odpowiada dominującym wektorom identyfikacji w materiałach wizyjnych. Brak przetwarzania w czasie rzeczywistym nie wpływa na model ryzyka inference attack w gotowych plikach, ale upraszcza kontrolę dostępu i łańcucha przetwarzania.

Odniesienia normatywne i źródła

  • RODO - Rozporządzenie (UE) 2016/679, motyw 26 i art. 4 - definicja danych osobowych oraz kryterium identyfikowalności. Źródło: EUR-Lex.
  • WP29 (obecnie: EROD), Opinion 05/2014 on Anonymisation Techniques (WP216), 10.04.2014 - ryzyka singling-out, linkability i inferowalności w anonimizacji. Źródło: European Commission archives.
  • ISO/IEC 20889:2018, Privacy enhancing data de-identification - Terminology and classification of techniques - definicje i klasy ataków w kontekście de-identyfikacji. Wydawca: ISO/IEC JTC 1/SC 27.
  • ISO/IEC 27559:2022, Privacy enhancing data de-identification framework - ramy oceny ryzyka i skuteczności de-identyfikacji. Wydawca: ISO/IEC JTC 1/SC 27.
  • NISTIR 8053:2015, De-Identification of Personal Information - ryzyka reidentyfikacji i wnioskowania, praktyki redukcji ryzyka. Wydawca: NIST.
  • Shokri et al., Membership Inference Attacks Against Machine Learning Models, IEEE S&P 2017 - formalizacja i metryki ataku członkostwa.
  • Nasr, Shokri, Houmansadr, Comprehensive Privacy Analysis of Deep Learning, IEEE S&P 2019 - ataki i obrony wobec DNN.
  • Raval, Machanavajjhala, Pan, What You Mark Is What You Get, NDSS 2017 - prywatność w obfuskacji wideo, ograniczenia względem wnioskowania.
  • Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, art. 81 - przesłanki rozpowszechniania wizerunku. Źródło: isap.sejm.gov.pl.
  • Kodeks cywilny, art. 23-24 - ochrona dóbr osobistych, w tym wizerunku. Źródło: isap.sejm.gov.pl.

Zobacz także

Powrót do słownika