Can a Teenager Fool an AI? Evaluating Low-Cost Cosmetic Attacks on Age Estimation Systems

Deze studie toont aan dat simpele, huis-tuin-en-keuken cosmetische aanpassingen zoals een nepbaard of make-up AI-leeftijdsschattingssystemen succesvol kunnen misleiden, waardoor minderjarigen als volwassenen worden geclassificeerd en de kwetsbaarheid van deze beveiligingsmechanismes blootlegt.

De kern

Titel: Kan een tiener een AI-robot voor de gek houden? (En waarom dat een groot probleem is)

Stel je voor dat er een onzichtbare, supersterke poortwachter op de deur staat van een club waar alleen volwassenen (18+) mogen komen. Deze poortwachter is een kunstmatige intelligentie (AI) die naar je gezicht kijkt en zegt: "Jij bent te jong, je mag niet naar binnen."

Deze technologie wordt steeds vaker gebruikt op internet om kinderen te beschermen tegen onveilige content. Maar een nieuwe studie, geschreven door een groep studenten en onderzoekers, vraagt zich af: Is deze poortwachter wel zo slim als we denken?

Het antwoord is verrassend simpel: Ja, een tiener kan deze AI heel makkelijk voor de gek houden met spullen die je in elke drogisterij kunt kopen.

Hier is hoe ze het hebben ontdekt, verteld in begrijpelijke taal:

1. Het Experiment: De "Magische Drogisterij"

De onderzoekers wilden niet echt tieners laten schminken en foto's maken (dat zou ethisch lastig zijn). In plaats daarvan gebruikten ze een slimme computerprogramma (een zogenaamde "VLM") als een digitale make-upartiest.

Ze namen foto's van 329 mensen tussen de 10 en 21 jaar en gaven de computer de opdracht om vier simpele dingen toe te voegen:

• Een baard (zelfs als de persoon er geen heeft).
• Grijs haar (alsof ze al oud zijn).
• Smeerpoets (volwassen make-up).
• Rimpels (alsof ze al 40 zijn).

Het was alsof ze een tiener een "magische vermomming" gaven die in minder dan 10 minuten klaar is.

2. De Resultaten: De AI valt als een huis

Toen ze deze "vermomde" foto's aan de AI-gatekeepers lieten zien, gebeurde er iets schokkends. De AI dacht plotseling: "Oh, deze persoon is zeker 25! Laat ze binnen!"

Hier zijn de belangrijkste bevindingen, vergeleken met alledaagse situaties:

• De Baard is een Gouden Sleutel: Alleen al het toevoegen van een nepbaard was al genoeg om 28% tot 69% van de AI-systemen te bedriegen. Het is alsof je een sleutel hebt die bij bijna elke deur past.
• De "Super-Vermomming": Als je alle vier de trucjes combineert (baard + grijs haar + make-up + rimpels), dan wordt de AI er gemiddeld 7,7 jaar ouder van. Voor een 15-jarige denkt de AI dan plotseling dat ze 22,5 zijn.
• De Slachtoffers: De AI die het meest werd bedrogen, gaf in 83% van de gevallen toestemming aan mensen die eigenlijk minderjarig waren.

3. Waarom werkt dit? (De "Oude Man" Illusie)

De AI's zijn getraind om te kijken naar tekenen van ouderdom: rimpels, baarden, grijze haren. Maar ze zijn niet getraind om te weten of die dingen echt zijn of nep.

• Vergelijking: Stel je voor dat je een robot leert om appels te herkennen. Je zegt: "Appels zijn rood." Als je nu een groene appel rood kleurt met verf, denkt de robot dat het een appel is. De AI kijkt alleen naar de oppervlakte, niet naar de waarheid.
• Make-up: Interessant genoeg maakt make-up de AI niet per se "ouder" in cijfers, maar het verandert de huidskleur en schaduwen net zo goed dat de AI twijfelt en denkt: "Misschien is deze 17,5... nee, wacht, 18,1!" Het duwt de tiener net over de grens.

4. Wie is de beste verdediger?

De onderzoekers testten 8 verschillende AI-systemen.

• De speciale AI's (die alleen maar voor leeftijd zijn gemaakt) waren het makkelijkst te bedriegen.
• De moderne AI's (die ook tekst kunnen lezen en begrijpen, zoals de nieuwste versies van Google en OpenAI) waren iets sterker, maar werden toch in 60% tot 70% van de gevallen bedrogen.

Zelfs de "slimste" AI kon niet tegen een simpele nepbaard.

5. Wat betekent dit voor de wereld?

Op dit moment worden deze AI-systemen gebruikt om te controleren of je mag kijken naar films met veel geweld, of om alcohol te kopen, of om op sociale media te komen.

De studie zegt: "We vertrouwen te veel op deze systemen."
Het is alsof je je huisdeur vergrendelt met een simpele houten pin, terwijl er buiten een groep kinderen staat met een setje schaar en lijm. Ze kunnen de pin zo openmaken.

De les voor de toekomst:
Als we willen dat kinderen veilig zijn online, kunnen we niet alleen vertrouwen op een AI die naar een selfie kijkt. We moeten:

1. AI-systemen testen op of ze tegen "vermommingen" kunnen (net zoals we auto's testen op ongevallen).
2. Misschien andere methoden gebruiken, zoals het controleren van een ID-kaart of het kijken naar hoe je beweegt (video), in plaats van alleen een statische foto.

Kortom: Een tiener hoeft geen hacker te zijn om een AI te bedriegen. Met een pakje nepbaard en wat grijze verf is de poortwachter vaak al verslagen.

Technische samenvatting

Probleemstelling

Leeftijdsbepalingssystemen worden steeds vaker ingezet als digitale poortwachters voor online inhoud met leeftijdsbeperkingen (bijv. sociale media, alcoholverkoop,成人inhoud). Hoewel deze systemen cruciaal zijn voor de naleving van wetgeving zoals de UK Online Safety Act en de EU Digital Services Act, is hun robuustheid tegen eenvoudige, fysieke cosmetische manipulaties niet systematisch onderzocht.

De kernvraag is of een tiener, zonder technische kennis en met huishoudelijke middelen, een AI-systeem kan misleiden om een minderjarige (onder de 18) te classificeren als een volwassene. Bestaande adversariale attacks vereisen vaak toegang tot modelgradiënten of geavanceerde digitale perturbaties, wat voor een gemiddelde tiener onhaalbaar is. Dit paper onderzoekt de dreiging van "low-cost" cosmetische veranderingen: baard, grijs haar, make-up en rimpels.

Methodologie

Om ethische bezwaren rondom het fotograferen van echte minderjariden te vermijden, hebben de auteurs een schaalbare simulatie-methode ontwikkeld:

1. Datasets: Er is een testset samengesteld van 329 gezichtsafbeeldingen van individuen tussen de 10 en 21 jaar, afkomstig uit acht standaard datasets (zoals UTKFace, IMDB-WIKI, MORPH).
2. Simulatie van Aanvallen: In plaats van fysieke make-up toe te passen, gebruikten de auteurs een Vision-Language Model (VLM) beeldeditor (Gemini 2.5 Flash Image) om realistische cosmetische veranderingen toe te passen op basis van tekstprompts.
   • Aanvalstypes: Baard (met wat grijs), grijs haar, volwassen make-up (foundation, blush, contouring) en rimpels (voorhoofd en ooghoeken).
   • Combinaties: Alle 15 niet-lege subsets van deze vier aanvallen werden gegenereerd, inclusief de volledige combinatie van alle vier.
3. Geëvalueerde Modellen: Acht modellen werden getest, verdeeld in twee categorieën:
   • 5 Gespecialiseerde CV-modellen: (bijv. MiVOLO, Custom-Best, DEX) die specifiek zijn getraind voor leeftijdsbepaling.
   • 3 Vision-Language Models (VLMs): (Gemini 3 Flash, Gemini 2.5 Flash, GPT-5-Nano) die "zero-shot" worden gebruikt via prompts.
4. Bewerkingsstrategie: Om beeldkwaliteit te behouden bij gecombineerde aanvallen, werd een "priority-weighted pixel-delta blending"-strategie gebruikt om artefacten van opeenvolgende generaties te voorkomen.

Kernbijdragen

• Eerste Systematische Studie: Dit is het eerste onderzoek dat fysieke cosmetische manipulaties bestudeert als een doelbewuste aanval op leeftijdsbepaling (in tegenstelling tot eerdere werk dat zich richtte op gezichtsherkenning/identiteit).
• Nieuwe Metriek (ACR): De auteurs introduceren de Attack Conversion Rate (ACR). Dit is het percentage afbeeldingen dat door het model oorspronkelijk als "minderjarige" werd geclassificeerd, maar na de aanval als "volwassene" wordt herkend. Deze metriek is populatie-onafhankelijk en maakt vergelijkingen mogelijk tussen verschillende testsets.
• Cross-paradigma Benchmark: Het paper vergelijkt voor het eerst de robuustheid van gespecialiseerde computer vision-architecturen met moderne VLMs onder dezelfde realistische bedreigingsmodellen.

Belangrijkste Resultaten

De resultaten tonen aan dat bestaande leeftijdsverificatiesystemen kwetsbaar zijn voor eenvoudige manipulaties:

1. Effectiviteit van Enkele Aanvallen:

   • Een synthetische baard alleen al bereikt een ACR van 28% tot 69% over alle modellen heen. Dit is de meest effectieve enkele aanval.
   • Grijs haar heeft een groter effect op VLMs dan op gespecialiseerde modellen.
   • Make-up heeft een verrassend effect: het verandert de gemiddelde leeftijdsschatting nauwelijks (+0,05 jaar), maar heeft een hoge ACR (29-49%). Dit suggereert dat make-up voorspellingen die net onder de 18 liggen, selectief over de drempel duwt zonder de algemene verdeling te verstoren.

2. Effectiviteit van Gecombineerde Aanvallen:

   • Wanneer alle vier de aanvallen (baard, grijs haar, make-up, rimpels) worden gecombineerd, schuift de voorspelde leeftijd gemiddeld met +7,7 jaar omhoog.
   • De ACR bereikt tot 83% voor de kwetsbaarste modellen (zoals DEX).
   • Gemiddeld over alle modellen wordt 68,9% van de gevallen die oorspronkelijk als minderjarige werden gedetecteerd, na de aanval onterecht als volwassene geclassificeerd.

3. VLM vs. Gespecialiseerde Modellen:

   • VLMs vertonen over het algemeen een iets lagere ACR (59–71%) dan gespecialiseerde modellen (63–83%) onder de volledige aanval, hoewel de intervallen overlappen.
   • Gespecialiseerde modellen (zoals MiVOLO) reageren sterker op veranderingen in het gezicht (baard), terwijl VLMs meer contextuele cues (zoals haar kleur) lijken te gebruiken.

4. Leeftijdsafhankelijke Kwetsbaarheid:

   • Jongere kinderen (10-12 jaar) zijn paradoxalerwijs moeilijker te omzeilen omdat hun basale voorspelling ver onder de 18 ligt; zelfs een grote verschuiving haalt ze niet over de drempel.
   • De 15-17 jarigen zijn het meest kwetsbaar, omdat hun basale voorspelling al dicht bij de 18 ligt.

Betekenis en Conclusie

De bevindingen van dit paper hebben ernstige implicaties voor de implementatie van online leeftijdsverificatie:

• Kwetsbaarheid van Infrastructuur: De technologie die wereldwijd wordt ingezet als "age-gating" is kwetsbaar voor lage-kosten, niet-technische omzeilingen. Een tiener kan met goedkope kostuumartikelen een AI-systeem omzeilen.
• Noodzaak van Robuustheidstests: Het selecteren van modellen voor leeftijdsverificatie op basis van alleen "clean" data (gemiddelde absolute fout/MAE) is ontoereikend. Adversariale robuustheid moet een verplicht criterium worden bij modelselectie.
• Beleid en Regulering: Huidige regelgeving specificeert geen minimale eisen voor adversariale robuustheid. Dit onderzoek benadrukt dat dit een eerste-orde beleidsprobleem is.
• Aanbevelingen: De auteurs raden aan om modellen met grove leeftijdsbinnens (zoals DEX) te vermijden en te investeren in systemen die minder gevoelig zijn voor cosmetische manipulaties, of om aanvullende controles (zoals video-levenddetectie) te implementeren.

Kortom, het paper waarschuwt dat de huidige staat van de techniek voor leeftijdsverificatie fundamenteel onveilig is tegenover eenvoudige fysieke manipulaties, en dat er dringend behoefte is aan nieuwe evaluatiestandaarden.