近日,依托清华大学人工智能研究院成立的团队瑞莱智慧RealAI公司披露了一项研究成果引发舆论关注。研究人员通过佩戴一副带有对抗样本图案的眼镜,轻松破解了19款主流手机的人脸识别解锁系统,甚至还包括十余款金融和政务服务类APP。
团队选取了20款手机进行测试。开始前,这20部手机被统一录入同一位测试人员的人脸验证信息,随后另一位作为“攻击者”的测试人员戴上该眼镜依次去尝试解锁。结果,除iPhone11外,其余19款手机全部被成功解锁。
据介绍,对抗样本是结合攻击者的图像与被攻击者的图像通过算法计算生成的干扰图案,干扰图案可以使人脸识别系统误判两个面部特征不一致的人为同一个人。
实际上,对抗样本是人工智能领域公认的一大漏洞,但以往攻击尝试主要在实验环境下进行。2019年8月,来自莫斯科国立大学、华为莫斯科研究中心的研究者们曾发布,在脑门上贴一张对抗样本图案,能让公开的Face ID系统识别出错,但本次攻击仅实现让识别系统“看不到”目标任务,并非攻破商用的手机,其安全性、复杂性与让人脸识别算法将A识别为B仍有很大差距。团队认为,这次手机的攻击测试佐证了这一有风险的安全漏洞在商用领域的真实存在性,这也是在全球范围内首次攻破商用人脸识别系统的案例。
目前,人脸识别技术被广泛应用于公共安全(罪犯识别、边防管理)、场所进出(机构门禁、物业服务)、信息处理(账户认证、文件解密)等领域,其潜在的安全漏洞除对用户隐私、个人信息形成威胁外,还可能因系统或算法受到攻击导致非法侵入,进而引发盗窃、诈骗、侵入住宅等下游犯罪,危及数据、财产乃至人身安全。不过,也有网友认为此次攻击测试仅选择了19款采用2D人脸识别技术的安卓手机和1款使用3D技术的iPhone11,结果不具普遍性和可比性。
2月3日,作为该研究项目负责人之一、瑞莱智慧高级产品经理张旭东接受了21世纪经济报道记者专访,对该对抗算法的技术原理、攻击样本选择情况、3D和2D人脸识别技术有何区别、团队的初衷与下一步计划等问题进行了解答。
张旭东表示,选用的19个测试手机人脸解锁均采用2D技术的原因,其实反映了一个现实问题——市面上搭载3D人脸识别方案的手机型号仍是少数,一般顶配的高价位手机以及安全级别非常高的应用场景才会选择3D方案,另一方面,一些价位不算低的旗舰机也主要采用2D方案,可以说,2D方案的应用普及率要远远高于3D方案,因此这一安全风险是普遍存在的。他也进一步说明,目前这款眼镜设计较为简单,仅在平面上加一些干扰,所以3D人脸识别方案的解锁系统不容易被这种方式破解。
对于下一步计划,他表示要从防御角度解决目前商用系统中存在的“对抗样本”漏洞,也会继续深入人工智能安全对抗研究,尝试3D人脸识别方案的攻击路径,挖掘人脸识别在应用场景中的更多潜在风险,健全人脸识别技术的安全保障,让大众更安全地享受人脸识别的便利。
对抗眼镜破解人脸识别
《21世纪》:为什么想要对商用人脸识别系统进行对抗样本攻击测试,初衷是什么?
张旭东:早在2015年在校期间,我们团队就意识到,人工智能如果日后普及,就必须要解决其安全性的问题,所以从那时起,我们就开始着手相关研究。2018年,随着清华大学人工智能研究院成立,公司作为官方的产学研机构孵化成立。我们发现,人脸识别可能是公众日常生活中接触最多的人工智能应用场景,因此想验证学术界讨论了很多的“对抗攻击”这一安全漏洞在商用系统中是否确实存在。
《21世纪》:可否介绍一下对抗眼镜的制作和技术原理?
张旭东:对抗眼镜的制作过程比较简单。比如我要解锁某个人的手机,我需要用到他的一张照片和我自己的一张照片,然后输入到我们提前开发好的攻击算法中,算法会基于两张照片自动生成一个最优的干扰补丁,就是那个梯形图案,将图案打印出来,贴在眼镜上,对抗眼镜就制作好了。
背后的原理,可以这样理解:我在不同场景下的两张照片,算法一般都会识别出这是同一个人。本质原因是算法把我脸上的一些特征,比如鼻子眼睛,看成了“数值”,当两张照片的特征“数值”比较接近的话,就会被判定为是同一个人,不同的人之间的特征“数值”可能相差较远。
我们可以“问”这个算法,应该在上面加什么样的干扰“数值”,也就是干扰图案,和已有的特征“数值”加起来后,跟攻击目标上的特征“数值”一样或接近,计算机很快便可以找到一个图案来匹配。其实,对抗样本攻击算法的核心就是找到干扰图案,找到这个图案之后,我们就可以人脸识别算法出错。
《21世纪》:研发对抗样本攻击算法耗时多久?
张旭东:这是一个持续迭代的过程,早在2019年,我们就尝试过在图片上直接叠加像素扰动去攻击测试商用手机,当时也能测试成功,但效果不够稳定。这次我们经过半年左右的时间进行算法升级后,攻击效果提升比较明显。
据我们了解,业内应该还没有其他公司或研究团队能用一张对抗样本的补丁纸张去解锁商用的手机,以及一些商用的服务系统。
APP人脸识别同样存风险
《21世纪》:有部分网友认为测试的只是2D人脸识别的手机,测试结果容易形成误导。在测试前,团队是否调查过市面上手机人脸识别技术的分布情况,如何选样的?
张旭东:测试选择的手机,由两部分组成,一部分是新买了一批做测试的,包括5个品牌不同价位的安卓机型,另外一部分是团队日常在使用的手机。都是2D方案的一个主要原因在于,采用3D方案的手机其实并不多,另外3D方案的大多都是七八千元价位的顶配手机,相较之下,2D方案应用率更高。
《21世纪》:你刚才提到还可以攻击商用系统,比如说要解锁某一款APP,甚至利用人脸识别功能进行一些敏感操作,可以直接用吗?
张旭东:对,理论上是可行的,实际上我们也验证了这一风险确实存在。虽然APP人脸识别服务与手机的人脸识别服务可能不是一个技术方案,比如手机刷脸解锁用的是A厂商的技术服务,某个APP用的B厂商的服务。但是他们都能够破解,原因在于我们生成的攻击样本具有迁移性。
《21世纪》:测试中iPhone11幸免于难的原因是什么?
张旭东:iPhone目前采用的是3D结构光技术,是识别人脸的三维结构图像。我们目前这款眼镜制作比较简单,主要还是在平面图案上添加了一些干扰,所以不太能攻击成功。
《21世纪》:也就是说3D人脸识别的技术相对更安全?
张旭东:是的。3D人脸识别方案包括结构光、ToF(飞行时间法)等,它们与2D方案的区别在于采集的是人脸三维立体信息,3D技术方案可能只应用在人脸识别的活体检测环节,也可能既用来判断活体也用来做识别。
对抗样本攻击是新型安全威胁
《21世纪》:对抗算法现在是否已经反馈给手机厂商?
张旭东:对抗算法是在保密中的,但与厂商有针对风险问题进行沟通。
《21世纪》:这一对抗算法如果被不法人员获取将带来什么影响?是否有防守办法?
张旭东:人脸识别的应用非常广泛,就目前而言,考勤门禁、通行闸机等应用都存在这一安全问题,更严重的是,一些金融类跟政务类APP的身份认证环节也能被攻破,如果这一技术被不法分子获取,可能会进行一些非法获利的行为。
因为对抗样本攻击不同于传统的假体攻击,是一类新型安全威胁,像市面上活体检测方法难以解决这个问题,所以需要一些新的解决方案。防御方面,我们有推出相应的安全性评估产品和防火墙产品,能够检测识别目标是否佩戴了对抗补丁,有效抵御针对于人脸比对、识别别模型的物理世界对抗样本攻击。
《21世纪》:除了推进对抗样本算法的解决方案,在人脸识别安全方面,团队日后还有什么研究计划?
张旭东:修补这一漏洞是最首要的。毕竟这类攻击技术如果被恶意开源普及开来的话,要实施攻击只是花一两元去打印一副眼镜的事。下一步,我们希望修补漏洞,和一些厂商、合作伙伴去共同加固人脸识别的安全性。
同时,我们将继续拓展对抗样本攻击的实现场景,比如如何对3D技术人脸识别实施更加稳定的攻击。目前,3D人脸识别会更多的应用于安全级别更高的场景,比如移动支付,我们会想知道对抗样本攻击对这类场景的危害级别是什么样的。包括我们也会研究一些新的漏洞,对抗样本攻击主要针对的是算法运行阶段,其实训练等环节也会存在一些安全问题,这些也是我们未来的研究范畴。
(作者:张雅婷,实习生钟焯 编辑:曹金良)
本文来源:21世纪经济报道
责任编辑:
贺锦格_NB18842
