基于机器学习的隐私工具具有广泛的适用性，发现其实正在泄露隐私

机器学习（ML）系统不仅影响我们日常生活的技术中得到普及，而且在包括人脸表情识别系统在内的观察技术中也变得越来越普遍。提供和使用这种广泛部署的服务的公司依赖于所谓的隐私保护工具，这些工具通常使用生成对抗网络（GAN），该网络通常由第三方生产，以识别个人身份图像。

纽约大学丹顿工程学院的研究人员探索了这些工具背后的机器学习框架，发现答案不是“非常正确”。在上个月于第35届AAAI人工智能大会上发表的论文“颠覆保护隐私的GAN：隐藏经过消毒的图像中的秘密”中，由纽约大学丹登分校电气与计算机工程学院副教授Siddharth Garg领导的团队探讨了是否私人数据仍然可以从通过隐私保护GAN（PP-GAN）等深度学习识别器“消毒”过的图像中恢复，甚至可以通过经验测试。该团队的主要作者包括刘康博士。候选人和电气与计算机工程研究助理教授本杰明·坦（Benjamin Tan）发现，PP-GAN设计实际上可以被颠覆以通过隐私检查，同时仍然允许从经过消毒的图像中提取秘密信息。

基于机器学习的隐私工具具有广泛的适用性，可能在任何对隐私敏感的领域中都可以使用，包括从车辆摄像头数据中删除与位置相关的信息，混淆产生手写样本的人的身份或从图像中删除条形码。由于涉及的复杂性，基于GAN的工具的设计和培训已外包给供应商。

Garg说：“许多用于保护可能出现在监视或数据收集摄像头中的人的隐私的第三方工具都使用这些PP-GAN来操纵图像。” “这些系统的版本旨在清理面部和其他敏感数据的图像，以便仅保留应用程序关键信息。尽管我们的对手PP-GAN通过了所有现有的隐私检查，但我们发现它实际上隐藏了与敏感数据有关的秘密数据属性，甚至可以重建原始的私人图片。”

该研究提供了PP-GAN和相关的经验性隐私检查的背景，制定了攻击方案以询问是否可以颠覆经验性隐私检查，并概述了规避经验性隐私检查的方法。该团队对保留隐私的GAN进行了首次全面的安全性分析，并证明了现有的隐私检查不足以检测敏感信息的泄漏。

他们使用一种新颖的隐写术方法，以对抗方式修改了最新的PP-GAN，以从据说经过消毒的面部图像中隐藏秘密（用户ID）。

他们表明，他们提出的对抗性PP-GAN可以成功地在“经过消毒”的输出图像中隐藏敏感属性，这些图像通过了隐私检查，秘密恢复率达到了100％。

Garg和他的合作者注意到经验指标取决于歧视者的学习能力和培训预算，因此认为这种隐私检查缺乏必要的严格性来保证隐私。

Garg解释说：“从实际的角度来看，我们的结果表明对使用数据清理工具（特别是第三方设计的PP-GAN）要谨慎。” “我们的实验结果强调了现有基于DL的隐私检查的不足以及使用不受信任的第三方PP-GAN工具的潜在风险。”
编辑：lyn