O algoritmo anti-reconhecimento facial

Peguei dois retratos meus, lado a lado, e os enviei a uma pessoa que me conhece muito bem. Perguntei: “vê diferenças nessas fotos?” Ela viu. Disse-me que a da esquerda parecia estar editada, porque minha pele estava mais bonita. É verdade que a minha aparência estava melhor na foto da esquerda, porém ela era a original, sem edição. A da direita havia sido tratada por um algoritmo de privacidade, que sutilmente descaracteriza retratos para neutralizar sistemas de reconhecimento facial — sem afetar (muito) o reconhecimento por outros seres humanos.

Batizado de Fawkes, em referência à máscara de Guy Fawkes que aparece no gibi/filme V de Vingança e acabou tomada como representação do movimento Anonymous, o algoritmo desenvolvido por pesquisadores da Universidade de Chicago promete um “‘disfarce’ de imagem para privacidade pessoal”. Ele “pega suas imagens pessoais e faz alterações mínimas, no nível dos pixels, invisíveis a olhos humanos”, mas capazes de confundir com taxas de sucesso de 100% ou próximas disso os sistemas mais avançados do mundo, como a Face API do Microsoft Azure, o Rekognition da Amazon e o Face++ da MEGVII.

É uma abordagem engenhosa. Até agora, soluções do tipo exigiam atuavam no momento da coleta de novas fotos e com o auxílio de acessórios pouco práticos, como óculos esquisitos ou moletons com estampas específicas. O Fawkes inverte a lógica, protegendo as fotos contra as quais imagens novas serão comparadas. Nas palavras dos pesquisadores, “o efeito do disfarce não é facilmente detectável por humanos ou máquinas e não causará erros em modelos de treinamento. Entretanto, quando alguém tentar identificá-lo apresentando ao modelo uma imagem sua sem alterações, ‘não disfarçada’ [pelo algoritmo] (por exemplo, uma foto tirada em público), o modelo falhará em reconhecê-lo”.

Foi um caso do tipo que motivou os pesquisadores a trabalharem no Fawkes. Em 2019, o New York Times revelou o escândalo da Clearview AI, empresa obscura financiada por Peter Thiel que já havia coletado mais de 3 bilhões de retratos em plataformas abertas na internet — redes sociais, sites —, sem a autorização ou conhecimento das pessoas, para criar perfis acessíveis mediante reconhecimento facial.

A tecnologia da Clearview AI era vendida para quem quisesse comprá-la. Um vazamento no começo de 2020 revelou que a empresa já havia negociado com mais de 2,2 mil autoridades policiais de 27 países, incluindo órgãos questionáveis como o Serviço de Migração e Controle de Aduanas dos Estados Unidos (ICE, na sigla em inglês) e o fundo soberano dos Emirados Árabes Unidos, além de entidades privadas como as redes varejistas Best Buy, Macy’s e Walmart, e a liga de basquete NBA. Ben Zhao, professor de ciência da computação envolvido no projeto Fawkes, disse ao New York Times que “o nosso objetivo é fazer com que a Clearview desapareça”.

O anti-Facetune

Um dos super poderes da tecnologia é o de democratizar soluções antes muito caras e/ou restritas. A edição de imagens, por exemplo. Antes do digital, era preciso um químico especializado para manipular imagens de maneira verossímil. Com a digitalização e o surgimento de softwares como o Photoshop, a base de pessoas capazes dessas manipulações e seus usos aumentaram. O processo não parou ali. Com o barateamento do processamento de dados, os avanços dos algoritmos de imagens e a popularização do celular, não demorou muito para que todos tivéssemos um mini-Photoshop para retratos, barato ou gratuito e super competente, à nossa disposição. Apps como o Facetune, há anos entre os mais rentáveis das lojas de aplicativos, são tão bons quanto fáceis de usar, e uma das grandes forças por trás da desconexão da realidade que as redes sociais promovem.

Lembrei-me imediatamente do Facetune e das ideias de simulacro de Jean Baudrillard quando me disseram que meu retrato editado pelo Fawkes era mais feio que a original, sem edição. Talvez haja uma lição incidental aqui dos perigos que circundam a busca por um ideal de “perfeição” que vai além daqueles mais conhecidos — um que é intencionalmente inalcançável e que coloca as pessoas em uma corrida sem fim que nos afasta um tanto daquilo que nos constitui humanos. Chega a ser meio irônico, meio simbólico, que, para escapar da vigilância promovida pelas máquinas, sempre tão perfeitas à sua maneira, a gente precise ficar mais “feio”, ou mais humano.

Como funciona?

Os pesquisadores da Universidade de Chicago, liderados pelos doutorandos Shawn Shan e Emily Wenger, criaram um aplicativo para Linux, macOS e Windows gratuito, acessível a qualquer interessado. Eles lembram, porém, que a finalidade primordial do projeto é a pesquisa, e que apesar de estarem trabalhando duro para produzir algo prático para pessoas preocupadas com privacidade, o aplicativo pode conter falhas ou mesmo nem funcionar com algumas imagens.

Essas falhas potenciais já se materializaram. Quando testou a ferramenta, a repórter Kashmir Hill, do New York Times, ganhou um bigode, e seu marido, olhos totalmente pretos. Isso aconteceu porque, segundo os pesquisadores, o Fawkes faz sua mágica comparando o retrato submetido a um banco de imagens públicas de celebridades e, nessa, às vezes o rosto mais parecido com o seu é um do sexo oposto. A versão 0.3 do aplicativo, liberada após a publicação da reportagem, trouxe um “algoritmo de seleção de alvos atualizado que reduz significativamente a probabilidade de artefatos de perturbação após o disfarce”. Eu testei com uma foto minha e, apesar do estrago na minha pele e uma bochecha um pouco mais cheinha, o resultado foi bem satisfatório.

O aplicativo (acima) é bastante rudimentar. A versão para macOS tem quase 160 MB e, ao ser aberto, se resume a uma janelinha com dois botões, um para selecionar imagens e outro para iniciar o trabalho. Tudo é feito localmente e leva, em média, dois minutos para o processo ser finalizado. Esse tempo parece variar de acordo com o tamanho da imagem; o meu retrato, em alta qualidade, era um arquivo de 1,3 MB e levou ~3 minutos para ficar pronto. Note que a conversão é do tipo não destrutiva, ou seja, o arquivo original é preservado e um novo, com o “disfarce” algorítmico aplicado, é salvo na mesma pasta.

Há anos deixei de apresentar uma foto minha no WhatsApp, o último produto do Facebook que, estando no Brasil, acabo meio que impelido a usar. Isso já causou algumas saias justas, como amigos achando que eu os tinha excluído da minha lista de contatos; também descobri que esse comportamento, em alguns círculos, pode ser um sinal de que as coisas não vão bem. Não era o meu caso. Beira a insignificância? Sim, mas me incomoda a ideia ceder uma foto minha, voluntariamente, a uma empresa como o Facebook. Nada garante que as imagens disfarçadas pelo Fawkes serão sempre à prova de sistemas de reconhecimento facial. Por ora, elas parecem oferecer um meio termo satisfatório entre exposição e privacidade, ainda que isso só seja possível à custa de um filtro “anti-Facetune”.

Foto do topo: Ahmed Zayan/Unsplash.