近日,国际安全极客大赛(GeekPwn 2020)在上海举办。与往届相比,GeekPwn今年新设的两项比赛:“AI变脸口罩挑战赛”和“虚假人脸AI识别大赛”,引起了很多人的关注。
全新的AI安全挑战赛
“AI变脸口罩挑战赛”的赛题灵感来自于现实生活:在疫情的影响下,口罩已成为出行的必备物品。那么,它能否成为极客们的破解道具?
在比赛中,4支战队的选手需要戴上口罩,让人脸识别系统把自己识别成目标人物。
舞台上摆放着经过改造的自动售货机和ATM机,两台机器都加装了人脸识别系统。不同的是,自动售货机使用的是“白盒算法”,前两轮挑战的目标人物依次是GeekPwn的老朋友、主持人蒋昌建,漫威人物黑寡妇。ATM机使用的则是“黑盒”算法,目标人物依次是马斯克、漫威人物美国队长。选手不知道具体的模型参数,挑战难度更高。
每轮挑战限时150秒。计时开始,4队选手们依次冲到机器前,不断调整着口罩位置和面孔角度。现场可以看到,选手们准备的口罩风格各异:有些相当写实,选手戴上后,肉眼看上去真的和目标人物有几分相似;有些则“简单粗暴”,仅仅是隐约能看出口鼻形状的像素色块。
极棒实验室负责人王海兵解释说,这是因为人脸识别系统的认人方式跟人类不一样。对机器来说,只要一张人脸的主要特征值符合后台数据,就会被判定是本人。也就是说,哪怕只是一堆像素,机器能读出特征值就行。舞台后方的大屏幕上实时显示着选手挑战的置信度,即机器“眼中”人脸特征值的吻合程度。当选手戴上不同口罩、采用不同姿态时,置信度也在快速地发生变化。
由于舞台环境和光线的影响,整个比赛进展得不如预赛顺利,但还是有一支战队在ATM机前成功“化身”马斯克——系统判断置信度达标后,取钞口应时而开,一张纸片掉落在地上。
变脸与假脸识别
如果说“口罩变脸”是相对超前的科学设想,那么“虚假人脸AI识别大赛”,要解决的则是“AI换脸”带来的一系列紧迫现实问题:电信诈骗、财产盗刷、伪造色情视频……在美国,“AI换脸”甚至已被用于选战。
2019年,Facebook、微软、亚马逊、麻省理工等知名企业、高校,曾联合发起一场针对AI换脸视频检测的挑战赛。挑战赛于今年3月31日结束,但仍然留下了一些亟待解决的问题。因此,今年的GeekPwn再度设置同类的比赛,希望帮助选手更好地调优或精简自身的训练模型,提升AI检测方面的技术突破,与各方共同推动更好的虚假人脸检测方法出现。
比赛要求选手开发AI检测方法,快速、高效地识别出图像以及视频中的虚假人脸。这些假脸由DeepFakes、Face2Face、FaceSwap、CycleGAN等AI技术或它们的变体生成。为了增加比赛的对抗性,主办方还设计了攻防环节:每队选手既要用自家的AI模型识别出其他队伍的假脸,又要用假脸骗过其他队伍的AI模型。
这场比赛更符合极客们的破解常态:5队选手各自守在电脑前,操作AI模型生成假脸、展开攻防——当然,表面的波澜不惊之下,是更加激烈的暗战,最终获胜的是TSAIL战队。
普通人还能安心地晒照片吗?
极棒实验室负责人王海兵告诉记者,以往的人脸识别破解主要在线上进行,选手们只需要通过人脸照片完成“数字攻击”。而今年的比赛中要戴着口罩去刷脸,相当于“数字攻击+物理攻击”,制约要素更多,现实环境的影响更大。
近几年,AI换脸信息确实越来越多,而且已经有不法分子绕过金融类应用风控机制的真实案例。在这样的情况下,普通人还能安心地晒照片吗?就此,王海兵也给出专业建议。他说,目前来看,商业人脸识别算法的可靠度和安全性还是可以的,AI换脸一般无法轻易突破。晒照片带来的家庭地址、行踪轨迹等隐私信息泄露的风险,其实远远高于换脸的风险——一个保护隐私和安全的小诀窍是不要发原图,经过压缩后,图片信息会大大减少。
“至少公众现在可以暂时放心。”王海兵说。但他也强调,对潜在风险要给予足够的警惕。“我们希望告诉大家有这样一个风险的存在,从而通过研究去避免风险的发生。”
