最近网上出现了一种“隐身衣”,能让AI认不出照片中的人脸,很好地保护了隐私。不过,这种“隐身衣”往往在上传到App时就失效了,因为App会对图片进行二次压缩。为了让“隐身衣”更有效,武汉大学国家网络安全学院和Adobe联手攻关,把目标锁定在让对抗性噪声能在各种压缩环境中存活。 为了实现这一目标,研究团队提出了一个新方案,叫ComReAdv。他们把原图和对应压缩图打包起来,构建了一个监督数据集。通过这个数据集,团队训练出了一个“山寨”压缩器ComModel。这个ComModel能模仿不同的压缩算法,还能以可微方式近似未知算法。他们把ComModel塞进优化目标里,用MI-FGSM迭代生成新的对抗图。这个新对抗图经过模拟压缩后,还能误导分类器。实验结果显示,ComReAdv在抗压缩能力上超越了现有最好的方法SOTA。比如在微博上,它能把Resnet50的误导率推到90%以上。 这个方案让“隐身衣”不仅能在本地仿真(如JPEG、JPEG2000、WEBP)中发挥作用,还能在真实社交平台(如Facebook、微博、豆瓣)中保持效果。接下来研究团队计划提升模型的抗压缩极限,探索动态对抗技术,让噪声随网络环境实时进化。最终目标是让每一次分享都自带“隐身衣”,把隐私风险挡在屏幕之外。