Swearingen beschreibt Gesichtserkennung als eine Kette aus mehreren Schritten: Bildaufnahme, Erkennung des menschlichen Körpers, Identifikation des Gesichts, Merkmalsextraktion und schließlich den Abgleich mit einer Datenbank. Wenn einer dieser Schritte gestört werde, funktioniere das Gesamtsystem nicht mehr. Da Angriffe auf Kameras oder Backend-Systeme rechtlich und praktisch nicht ohne Weiteres in Frage kämen, konzentriere sich seine Kleidung vor allem auf den zweiten Schritt, also die Erkennung von Personen im Bild.
Gerade dort sieht er eine technische Schwäche. Laut Swearingen läuft diese Erkennung oft direkt auf den Kameras und nicht auf leistungsfähigeren Backend-Servern. Die neuronalen Netze müssten deshalb Echtzeitgeschwindigkeit höher gewichten als Genauigkeit und seien durch die Hardware der Kamera begrenzt. Dadurch würden vergleichsweise einfache Modelle zum eigentlichen Gegner.
Für seine Versuche extrahierte Swearingen nach eigenen Angaben elf KI-Modelle aus realer Hardware. Wo ihm Geräte nicht vorlagen, etwa bei Clearview, behalf er sich anders. Er sagt, er lese Software-Stücklisten und leite daraus ab, welche Komponenten vermutlich eingesetzt würden und wie sie genutzt würden. Anschließend virtualisiere er eine Kamera auf seinen Grafikprozessoren und teste dagegen.
Mit diesen Modellkopien probierte er verschiedene Kleidungsdesigns aus. T-Shirts mit vielen aufgedruckten Gesichtern zeigten Wirkung, ebenso andere irritierende Eingaben. Text auf Schals, darunter auch schadhafter Code oder Schimpfwörter, habe dagegen keinen Effekt gehabt. Die Gesichter funktionierten zwar, brachten aber ein offensichtliches Alltagsproblem mit sich: Nicht jeder wolle Kleidung mit Dutzenden Gesichtern tragen.
Als praktikabler Kompromiss erwiesen sich laut Swearingen grafische Shirts und Sweatshirts mit geometrischen Mustern. Diese unruhigen Designs könnten von den Modellen mit digitalem Rauschen oder psychedelischer Kunst verwechselt werden. Er erklärt das damit, dass die Netze viele kleine Mustererkenner für Kanten, Texturen sowie die Grundanordnung von Augen, Nase und Mund gelernt hätten und daraus sehr schnell Entscheidungen bildeten. Schon kleine Bildveränderungen, die Menschen womöglich gar nicht auffielen, könnten die Grenze zwischen „Person“ und „keine Person“ verschieben. Deshalb seien hochfrequente Muster so wirksam.
Swearingen vergleicht den Ansatz mit CV dazzle, also Schminke, die markante Gesichtsmerkmale verschleiert und so die Gesichtserkennung erschwert. Seine Kleidung solle Ähnliches für den Körper leisten: Konturen verschleiern oder zusätzliche irritierende Informationen liefern, sodass das Modell weniger sicher ist, überhaupt einen Menschen zu sehen.
Langfristig will er auch den eigentlichen Schritt der Gesichtserkennung direkt angreifen. Dafür denkt er an Kleidungsstücke näher am Gesicht, etwa Kapuzen oder hohe Kragen. Ziel sei, einige Muster so zu gestalten, dass sie eine andere Identität codieren und das System die tragende Person jemand anderem zuordnet, statt sie nur zu übersehen.
Die Muster entwickelt Swearingen iterativ. Er erzeugt ein Design, testet es gegen alle Modelle und misst, wie stark deren Konfidenz sinkt oder wie weit sich die Identität eines Gesichts verschiebt. Wirksame Muster werden beibehalten und verfeinert, unwirksame verworfen. Über Millionen Durchläufe suche das System so nach Designs, die bei mehreren Modellen zuverlässig zu Erkennungsfehlern führen.
Allerdings betont der Quelltext auch die Grenzen des Ansatzes. Die Modelle seien nicht einheitlich, weshalb es keine allgemeingültige Regel für universell wirksame Muster gebe. Zudem könne ein zweidimensional getestetes Kleidungsbild in realer Umgebung auf Stoff anders wirken. Hinzu komme, dass Gegenmaßnahmen möglich seien: Würden tausend identische T-Shirts verkauft, funktionierten sie zwar zunächst gleich, bis das Modell aktualisiert werde. Danach könne wiederum ein neues Muster nötig sein.