AEGIS: Preserving privacy of 3D Facial Avatars with Adversarial Perturbations

📄 arXiv: 2511.17747v1 📥 PDF

作者: Dawid Wolkiewicz, Anastasiya Pechko, Przemysław Spurek, Piotr Syga

分类: cs.CV, cs.AI

发布日期: 2025-11-21

💡 一句话要点

AEGIS:通过对抗扰动保护3D面部头像的隐私

🎯 匹配领域: 支柱三:空间感知与语义 (Perception & Semantics)

关键词: 3D面部头像 隐私保护 对抗扰动 高斯溅射 身份掩蔽

📋 核心要点

  1. 现有2D图像对抗掩蔽方法难以实现对动态3D头像的鲁棒、视角一致的身份保护。
  2. AEGIS通过对3D高斯头像的颜色系数进行对抗扰动,隐藏身份信息,同时保持头像的感知真实感。
  3. 实验表明,AEGIS能将人脸检索和验证准确率降至0%,同时保持高感知质量和关键面部属性。

📝 摘要(中文)

随着逼真的3D面部头像日益普及,特别是那些利用高效3D高斯溅射表示的头像,在线身份盗窃的风险也随之增加,尤其是在依赖生物特征认证的系统中。虽然已经开发出用于2D图像的有效对抗掩蔽方法,但在为动态3D头像实现鲁棒、视角一致的身份保护方面仍然存在显著差距。为了解决这个问题,我们提出了AEGIS,这是第一个用于3D高斯头像的隐私保护身份掩蔽框架,它保持了对象感知到的特征。我们的方法旨在隐藏与身份相关的面部特征,同时保持头像的感知真实感和功能完整性。AEGIS将对抗扰动应用于高斯颜色系数,由预训练的人脸验证网络引导,确保跨多个视点的一致保护,而无需重新训练或修改头像的几何形状。AEGIS实现了完全去识别化,将人脸检索和验证准确率降低到0%,同时保持了较高的感知质量(SSIM = 0.9555,PSNR = 35.52 dB)。它还保留了年龄、种族、性别和情绪等关键面部属性,展示了强大的隐私保护能力和最小的视觉失真。

🔬 方法详解

问题定义:论文旨在解决3D面部头像在生物特征认证等场景中存在的身份盗窃风险。现有方法,特别是针对2D图像的对抗掩蔽技术,无法直接应用于动态3D头像,难以保证视角一致性和鲁棒性,并且可能引入较大的视觉失真,影响头像的可用性。

核心思路:AEGIS的核心思路是通过对3D高斯头像的颜色系数施加对抗扰动,从而隐藏与身份相关的面部特征。这种方法能够在不改变头像几何结构的前提下,有效地混淆人脸识别系统,同时尽量保持头像的感知真实感和功能完整性。

技术框架:AEGIS框架主要包含以下几个阶段:1) 使用3D高斯溅射表示构建3D面部头像;2) 利用预训练的人脸验证网络提取身份相关的特征;3) 基于这些特征,生成对抗扰动并将其应用于高斯颜色系数;4) 评估扰动后的头像在身份保护和感知质量方面的表现。整个过程无需重新训练或修改头像的几何形状。

关键创新:AEGIS的关键创新在于其针对3D高斯头像的对抗扰动策略。与传统的2D图像对抗攻击不同,AEGIS直接作用于3D表示的颜色系数,从而保证了跨视角的扰动一致性。此外,该方法还考虑了感知质量的保持,避免了引入过多的视觉失真。

关键设计:AEGIS使用预训练的人脸验证网络作为指导,生成能够最大程度降低人脸识别准确率的对抗扰动。损失函数的设计需要平衡身份保护和感知质量两个目标。对抗扰动的强度需要仔细调整,以避免引入明显的视觉伪影。具体参数设置和网络结构的选择可能依赖于具体应用场景和数据集。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

AEGIS实现了完全的去识别化,将人脸检索和验证准确率降低到0%。同时,它保持了较高的感知质量,SSIM达到0.9555,PSNR达到35.52 dB。此外,AEGIS还能够保留年龄、种族、性别和情绪等关键面部属性,表明其在保护隐私的同时,最大程度地减少了视觉失真。

🎯 应用场景

AEGIS技术可应用于各种需要保护3D面部头像隐私的场景,例如在线会议、虚拟社交、游戏和远程医疗等。通过该技术,用户可以在使用3D头像进行交互的同时,有效防止身份盗窃和未经授权的人脸识别,从而提升用户隐私保护水平,促进3D头像技术的更广泛应用。

📄 摘要(原文)

The growing adoption of photorealistic 3D facial avatars, particularly those utilizing efficient 3D Gaussian Splatting representations, introduces new risks of online identity theft, especially in systems that rely on biometric authentication. While effective adversarial masking methods have been developed for 2D images, a significant gap remains in achieving robust, viewpoint-consistent identity protection for dynamic 3D avatars. To address this, we present AEGIS, the first privacy-preserving identity masking framework for 3D Gaussian Avatars that maintains the subject's perceived characteristics. Our method aims to conceal identity-related facial features while preserving the avatar's perceptual realism and functional integrity. AEGIS applies adversarial perturbations to the Gaussian color coefficients, guided by a pre-trained face verification network, ensuring consistent protection across multiple viewpoints without retraining or modifying the avatar's geometry. AEGIS achieves complete de-identification, reducing face retrieval and verification accuracy to 0%, while maintaining high perceptual quality (SSIM = 0.9555, PSNR = 35.52 dB). It also preserves key facial attributes such as age, race, gender, and emotion, demonstrating strong privacy protection with minimal visual distortion.