Меню
RU

CSAM-контроль от Apple: когда спасение детей плавно переходит в слежку за взрослыми

Где грань между желанием защитить детей от серьёзных и вполне реальных угроз и необходимостью поступиться ради этого собственными интересами, рискнуть репутацией из-за возможной ошибки алгоритмов? Кажется, Apple нащупала эту границу и заставила пользователей её ощутить.

Вот уже почти месяц мир обсуждает неоднозначное нововведение калифорнийской компании: алгоритм выявления CSAM. Опечатки тут нет: scam, кибермошенничество — это однозначно плохо, но это другое. Если в двух словах — Apple собирается сканировать фото на устройствах пользователей на предмет материалов, связанных с детским порно.

Мы сочли важным проанализировать механизм работы этой функции, потенциальные риски и возможности защитить от них наших пользователей.

UPD от 3 сентября 2021:

Apple делает шаг назад в отношении своей инициативы по распознаванию детского насилия! Сильнейшая реакция, последовавшая за анонсом подготовки крайне спорной программы по защите детей, вылилась в заявление от медиагиганта. В нём говорится, что Apple планирует:
"...потратить дополнительное время на протяжении следующих месяцев в целях сбора данных и произведения улучшений перед тем, как внедрять эти крайне важные меры по обеспечению безопасности детей".
Нет сомнений, что мы ещё услышим о программе по обнаружению CSAM, но прямо сейчас есть радость от того, что в кои-то веки мнение общественности было учтено при принятии таких важных решений.

Что это и как работает

Аббревиатура расшифровывается как Child Sexual Abuse Material («материалы, описывающие сексуальное насилие над детьми»). Существует база конкретных цифровых изображений, которую собрали организации по защите детей. На «айфонах», ноутбуках и планшетах от Apple собираются искать фото из этой базы.

На самом деле в Apple не стремятся просматривать ваши фото. Но в некоторых случаях будут это делать. После шума в прессе и соцсетях компания снизошла до разъяснений того, как будет работать алгоритм:

  • База изображений, вручную размеченных людьми как детское порно, превращается в хэши. Это уникальные последовательности символов, описывающие картинку для роботов. Последовательность останется той же, если картинку обрезать, изменить её размер, формат файла, наложить фильтры и так далее.

  • В виде хэшей эта база загружается на устройство пользователя. Да, Apple отправит на ваш айфон коллекцию детской порнографии в виде набора цифробуквенных строчек.

  • Для фото, которые пользователь вознамерится загрузить в iCloud, тоже будут вычислены хэши, и Apple сопоставит их с хэшами картинок из порнобазы. Весь этот процесс происходит на устройстве пользователя, без отправки его фото куда-то на анализ.

Стоит, кстати, вспомнить, что фото с устройств Apple загружаются в iCloud по умолчанию, если владелец устройства это специально не отключил. Вы удивитесь, узнав, какой небольшой процент пользователей меняет настройки по умолчанию.

  • Если в ходе сравнения выявляются совпадения хэшей, по адресу пользователя пока еще не отправляют автоматического дрона-убийцу: его аккаунт вручную проверят живые модераторы.

  • Если модераторы обнаружат фото из базы изображений CSAM, они обратятся в Национальный центр США по поиску и защите пропавших без вести и эксплуатируемых детей (NCMEC), основанный в 1984 году американским Конгрессом и сотрудничающий с правоохранительными органами.

Роботы могут ошибаться

Результатом работы алгоритмов на основе машинного обучения обычно является вероятностная характеристика какого-либо события («определённый объект скорее всего есть или, возможно, имеется на этом фото»). Искусственный интеллект не может быть ни в чём уверен на сто процентов. В результатах его работы всегда будет доля ложно-положительных ответов (то есть, в нашем случае, всегда будут фото, отождествлённые с образцами из базы CSAM по ошибке).

Другие ошибки у искусственного интеллекта на основе самообучающихся нейросетей тоже бывают и считаются нормой: идеально работающих технологий на данном этапе развития человеческой цивилизации просто не существует. У нейросетей, например, случается переобучение. Набор данных, в которых сеть учится искать закономерности, чтобы выявлять их в других наборах данных, может быть составлен неудачно. В результате искусственный интеллект «приспосабливается» к заданному набору данных, не обретает возможности анализировать примеры из других выборок или реального мира и думает, например, что яблоки бывают только красные. Или не может отличить чихуахуа от кексика с изюмом.


Айтишники, решившие исследовать CSAM-детектор Apple на потенциальные уязвимости, уже успели найти две пары разных изображений с одинаковыми хэшами. Это называется коллизией хэш-функций. Чем качественнее алгоритм преобразования в хэш, тем ниже должна быть вероятность таких совпадений, и у качественных алгоритмов она минимальна, так что находка уже двух случаев совпадения кое-что говорит о качестве технологии Apple.

Image source: Roboflow


Впрочем, в технокорпорации предусмотрели вероятность ошибок и собираются привлекать людей для оценки обоснованности возникших у роботов подозрений. Что за люди будут просматривать чужие фотоснимки? Это сотрудники Apple? По каким правилам и регламентам они работают, как отвечают за конфиденциальность чужих данных, где гарантия, что не используют их в своих интересах?

Роботы будут ошибаться

В августе 2019 года выяснилось, что Facebook нанимает сторонних подрядчиков, чтобы расшифровывать аудиозаписи из своих сервисов, в которых доступны функции управления голосом. Подрядчики пожаловались прессе, что им не объяснили, откуда аудио и зачем его обрабатывать — просто заказали расшифровку. Некоторым таким сотрудникам нанесло душевные раны прослушивание личных разговоров посторонних людей, которые иногда ругались и производили прочий «вульгарный контент». Производителям вульгарного контента тоже вряд ли было приятно попасть на разбор к фрилансерам.

Собственно, критиковали Facebook не за сам факт сохранения и обработки аудиозарисовок из пользовательской жизни, а за такую легкомысленную организацию процесса. Всё-таки иметь дело с чужой личной информацией должны сотрудники, ответственные за возможные нарушения и понимающие, чем занимаются. А занимаются такими вещами не только в Facebook, но и везде, где есть голосовые сервисы. Работу алгоритмов распознавания голосовых команд и реагирования на них нужно контролировать и улучшать, сделать это без участия людей пока не представляется возможным.

Тогда же, в августе 2019-го, Google, Amazon и Apple разрешили пользователям отключать включённую по умолчанию отправку в компанию записей их команд голосовому ассистенту.

А в середине 2020 года было опубликовано исследование ошибочных срабатываний голосовых ассистентов, которые принимали за обращение к себе похожие слова. Например, Alexa от Amazon может расслышать своё имя в слове «election» — выборы — и отправить подрядчику «Амазона» аудио с вашими рассуждениями по поводу голосования за президента.

Что может пойти не так, и насколько это вероятно?

Итак, как анализируют ваши фотографии роботы, в какой момент подключаются люди, и что делают они?

Хэш изображения с вашего устройства сопоставляется с базой хэшей запрещённых изображений. Результат этого сравнения записывается в так называемый сертификат безопасности (safety voucher), криптографически зашифрованный набор данных, который описывает «результат сравнения с изображениями из базы наряду с другими данными об изображении», объясняет Apple.

Что за другие данные? Apple в документации красиво называет их «visual derivative». Визуальная производная — картинка, которая показывает картинку. Иконка, предпросмотр, а если проще — то же ваше фото, просто меньше и в низком качестве.

Сертификат безопасности фото загружается в iCloud вместе с фото.Отдельная технология позволяет Apple отслеживать определенный порог количества совпадений хэшей фото пользователя с хэшами из базы.

Пороговое значение тоже не раскрывается, но модератор вступает в дело только по его превышению. В Apple утверждают, что вероятность некорректной пометки аккаунта как потенциального нарушителя не превышает одну триллионную.

Одна триллионная — это же очень мало, правда?

Заметим, однако, что это вероятность пометки аккаунта как принадлежащего потенциальному истязателю детей. Пометка происходит уже после того, как модератор посмотрит фото и подтвердит, что оно есть в CSAM-базе. А вот вероятность того, что алгоритмы заставят модератора посмотреть на фото, на порядок выше, это уже одна миллиардная.

Всё равно мало? Вероятность — это шанс ошибки с одним фото. Сколько фото люди загружают в iCloud? Apple нам не расскажет, но прикинуть по аналогии можно. Например, в 2021 году в Facebook каждый день загружается 340 миллионов фотографий. Миллиард фото будет загружен за три дня. Загружен в Facebook, у которого хоть и больше пользователей, чем у Apple, но они доверяют соцсети далеко не все фото, снятые на смартфон.

Количество картинок, которые люди сохраняют, скачивают, снимают и сохраняют в облачных сервисах, растёт экспоненциально пугающими темпами. А главное — даже если шанс быть съеденным акулой, купаясь в море, один на миллиард, вы всё равно не захотите быть тем самым счастливчиком. Даже если про вас потом напишут в газетах.

Потому что последствия ложных сигналов будут чересчур серьёзными. Подозрение в насилии над детьми может, например, превратить вас в обладателя волчьего билета для любого HR, даже если добьётесь справедливости и признания ошибки.

Да, у Apple есть сигнальный порог, они утверждают, что модератор займется аккаунтом, только если будет зафиксировано несколько совпадений фотографий с изображениями из базы. Но американское законодательство (как и законодательство многих других стран) запрещает хранение даже одной картинки, относящейся к CSAM. Apple категорически не желает оказываться соучастницей преступлений, компанию можно понять, но ожидать стоит только дальнейшего усиления активности по контролю пользователей и устранению потенциальных рисков для бизнеса. Так что CSAM-сканирование пришло всерьёз и надолго, не стоит ожидать, что негодование правозащитников, пользователей, прессы и кого угодно ещё сможет повлиять на происходящее.

Но всё же, почему это должно беспокоить добропорядочных пользователей?

Систематизируем:

1. Ошибки алгоритмов обещают слишком серьёзные последствия вплоть до разрушения карьеры и порчи жизни.

2. Недоработки в программном обеспечении. Это не то же самое, что предыдущий пункт: даже написанный без ошибок алгоритм на основе искусственного интеллекта может сработать некорректно, это считается нормальным на современном этапе развития технологий. Но и в ПО вкрадываются ошибки разработчиков (что тоже считается нормальным на современном этапе развития технологий). Ошибки будут всегда, но вот цена ошибки бывает разной. Стоит ли платить цену, если ошибающаяся технология создана не для вашего удобства, а ради законопослушности Apple?

3. Отсутствие прозрачности. Apple славится своей закрытостью, все разъясняющие документы от них страдают недостатком конкретики и тональностью «нечего забивать этим вопросом свои миленькие пользовательские головки, мы разберёмся». Нам остаётся только верить, что Apple за всё хорошее и достаточно ценит безопасность и приватность своих пользователей, чтобы бороться за них с собой же.

4. Печальный опыт. Постоянно слыша об очередных утечках и взломах, сложно придумать причины верить, что на этот-то раз всё совершенно надёжно и безопасно.

5. Потенциал экстраполяции. Давя людям на психику образами ужасных преступлений против детей, логично перейти к анализу других данных с помощью других технологий. Давайте спасём малых сих от терроризма, наркотиков, незащищённого паркура, самоубийств, пропаганды нетрадиционных отношений, призывов к митингам, голосования за ненадёжные партии, увлечения идеями национал-социализма и от езды на велосипеде без шлема, а для этого, конечно, придётся искать контент, потенциально связанный с этим вот всем.

6. Потенциал злоупотреблений Вариантов злонамеренной эксплуатации системы мы можем придумать множество, а сколько их может придумать опытный хакер...
Нельзя ли, например, подбросить на ваше устройство картинку, которая совпадёт хэшем с базой незаконных изображений?


Фото справа было изменено так, чтобы его хэш совпал с хэшем фото слева. Источник (и информация о коллизиях): Roboflow

Вот почему мы сейчас изучаем способы дать пользователю больше контроля над процессом сканирования его фото. Опросы в наших соцсетях показали, что абсолютное большинство (около 85% подписчиков) предпочли бы иметь возможность заблокировать проверку своих фотографий. Не очень-то нам верится, что все эти люди совершают или собираются совершать преступления против сексуальной безопасности детей, зато мы знаем, что наши пользователи умеют видеть потенциальные риски.





Возможно, AdGuard DNS можно научить блокировать отправку в iCloud сгенерированного на устройстве сертификата безопасности. Способы реализации зависят от того, как именно реализована детекция CSAM-контента, нам нужно разобрать и изучить эти технологии.

Возможно, мы можем заблокировать загрузку базы CSAM-хэшей на устройство, чтобы ваши фото не с чем было сравнивать. Так или иначе, это требует предварительных исследований.

С загружаемой на устройство базой хэшей для сравнения с фото, кстати, не всё так просто. CSAM-коллекцией она может и не ограничиться. Не скажут ли государства «а что, так можно было?», не попросят ли Apple добавить в базу картинки, связанные с другими категориями запрещённого или нежеланного в какой-то стране контента?

В качестве третьего варианта мы предлагаем вам отключить загрузку фото c устройства в iCloud. Это можно реализовать и как функцию AdGuard DNS: функцию довольно радикальную, но опциональную. Но вы можете отключить iCloud самостоятельно в настройках. Мы считаем, что лучше поступить именно так, особенно после новостей про CSAM: это не случайность, это проявление тенденции, которая будет развиваться и дальше.

Понравился пост?
25 709 25709 отзывов
Отлично!

AdGuard для Windows

AdGuard для Windows — это не просто «ещё один блокировщик». Это многоцелевой инструмент, который блокирует рекламу и доступ к опасным сайтам, ускоряет загрузку страниц и защищает детей от взрослого контента.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 709 25709 отзывов
Отлично!

AdGuard для Mac

В отличие от других блокировщиков, AdGuard разработан с учётом специфики операционной системы macOS. Он не только блокирует рекламу в Safari и других браузерах, но и защищает вас от слежки, фишинга и мошенничества в сети.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 709 25709 отзывов
Отлично!

AdGuard для Android

AdGuard для Android — это идеальное решение для Android-устройств. В отличие от других блокировщиков, AdGuard не требует root-доступа и позволяет управлять трафиком любых приложений на вашем устройстве.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 709 25709 отзывов
Отлично!

AdGuard для iOS

Лучший блокировщик рекламы для iPhone и iPad. AdGuard устраняет рекламу в Safari, защищает ваши данные и ускоряет загрузку страниц. AdGuard для iOS использует новейшую технологию блокировки, которая обеспечивает непревзойденное качество фильтрации и позволяет применять множество различных фильтров одновременно
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 709 25709 отзывов
Отлично!

AdGuard Content Blocker

AdGuard Content Blocker устраняет все объявления в мобильных браузерах, которые поддерживают технологию блокировки контента — к примеру, Samsung Internet и Яндекс.Браузер. Он обладает меньшим количеством функций, чем AdGuard для Android, но при этом бесплатен, прост в установке и по-прежнему обеспечивает высокое качество блокировки рекламы.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 709 25709 отзывов
Отлично!

Браузерное расширение AdGuard

AdGuard — самое быстрое и легкое браузерное расширение для блокировки всех типов рекламы! Выбирайте AdGuard для быстрого и безопасного серфинга без рекламы.
25 709 25709 отзывов
Отлично!

Помощник AdGuard

Дополнительное браузерное расширение для десктопных приложений AdGuard. Даёт доступ к таким функциям в браузере, как блокировка отдельных элементов, занесение сайта в белый список или отправление отчёта.
25 709 25709 отзывов
Отлично!

AdGuard DNS

AdGuard DNS – это альтернативный способ заблокировать рекламу, защитить личные данные и оградить детей от взрослых материалов. Он прост в настройке и использовании и обеспечивает необходимый минимум защиты от рекламы, трекинга и фишинга, независимо от платформы.
25 709 25709 отзывов
Отлично!

AdGuard Home

AdGuard Home — мощный сетевой инструмент против рекламы и трекинга. С усилением роли интернета вещей становится все более и более важным управлять всей вашей сетью. После настройки AdGuard Home будет охватывать ВСЕ ваши домашние устройства и для этого вам не понадобится программное обеспечение на стороне клиента.
25 709 25709 отзывов
Отлично!

AdGuard Pro для iOS

AdGuard Pro предлагает гораздо больше чем просто блокировку рекламы в Safari, которая есть в обычной версии. С помощью специальных настроек DNS вы сможете блокировать больше рекламы, защитить ваши личные данные и оградить детей от взрослого контента.
Скачивая программу, вы принимаете условия Лицензионного соглашения
Узнать больше
25 709 25709 отзывов
Отлично!

AdGuard для Safari

Расширения, блокирующие рекламу в Safari, переживают не лучшие времена с тех пор, как компания Apple вынудила всех использовать новый SDK. Познакомьтесь с нашим легко настраиваемым и молниеносным приложением!
25 709 25709 отзывов
Отлично!

AdGuard Temp Mail

Ваш временный почтовый ящик, чтобы на основную почту не приходил спам
25 709 25709 отзывов
Отлично!

AdGuard для Android TV

AdGuard для Android TV — единственное приложение, которое блокирует рекламу, защищает ваши данные и действует как фаервол для Smart TV. Получайте предупреждения о веб-угрозах, используйте безопасный DNS, а ваш трафик будет зашифрован. Смотрите любимые сериалы безопасно и без рекламы!
Загрузка AdGuard началась Стрелка указывает на файл: нажмите на него, и установка начнётся Выберите «Открыть», нажмите «OK» и дождитесь загрузки файла. В открывшемся окне перетащите значок AdGuard в папку «Приложения». Спасибо за выбор AdGuard! Выберите «Открыть», нажмите «OK» и дождитесь загрузки файла. В открывшемся окне нажмите «Установить». Спасибо за выбор AdGuard!
AdGuard есть и в мобильном варианте