想要快速成为埃隆·马斯克(Elon·Musk),需要几步?
三步。第一步,找到埃隆·马斯克的照片;第二步,利用AI算法分析这些照片并生成图片、制作变脸口罩;第三步,戴上口罩(Mask)……
当然,成功率要受到很多因素的影响;最后见证结果的,也不是人眼,而是录入了马斯克人脸信息的人脸识别摄像头。戴上口罩后,甚至还能让人脸识别ATM机吐出美金……
这并非是电影中的镜头,而是GeekPwn 2020国际安全极客大赛现场的比赛场景。近些年,人脸识别技术已广泛应用于安防监控、金融支付等领域。在人人都戴上口罩的2020年,戴口罩状态下实现人脸识别的技术也迅速面世。不过,人脸是每个人独一无二的生物信息,不可再生且与个人隐私密切相关。因此,人脸识别是否安全,成了大众无比关心的问题。
基于这样的现实生活背景,GeekPwn专门举行了一场“变脸口罩”挑战赛,去测试人脸识别算法的安全性,预警其中的安全风险。
为了解“AI变脸口罩”的相关技术原理,及其可能在现实生活中被恶意利用的可能性,湖南卫视《新闻大求真》节目组实地探访比赛主办团队KEEN,制作了一期求真节目。
AI 变脸口罩:不只是口罩那么简单
实现“变脸”的本质,其实是欺骗AI人脸识别算法。人脸识别技术广泛应用以来,绕过人脸识别的方法也逐渐出现,例如利用化妆手段干扰脸部识别技术,在镜头前隐藏身份;戴上特制眼镜或贴上特制图片,让人脸识别系统无法识别或识别出错等……
AI 变脸口罩,也是利用特制图片,欺骗 AI 人脸识别系统。在比赛现场,选手利用自制的“攻击”口罩,伪造身份,骗过现场的人脸识别售货机和人脸识别ATM机。在两台机器的人脸识别系统中,AI 算法对捕捉到的对象进行特征提取、识别,判定捕捉到的对象是否为指定人物。
这个过程,涉及到多链路的攻击和不同的算法、技术。虽然选手在现场成功欺骗ATM机的人脸识别算法、变脸马斯克只需几秒钟,但中间所花费的时间与精力,远不止制作一副口罩那么简单。
1. 人脸检测 & 人脸识别
人脸识别系统在工作时,一般会经过两个阶段,先是自动检测到人脸的存在(即人脸检测);然后再根据特征点进行分析,进一步识别这张脸是谁。所以选手制作的攻击口罩虽然有的写实、有的魔幻,但第一步都要让系统能够检测到人脸的存在。
2. 白盒算法 & 黑盒算法
自动售货机使用的是“白盒算法”,即 2019 年 IEEE 国际计算机视觉与模式识别会议提出的 ArcFace 算法。选手事先知道目标人物,也能获取系统所用的AI人脸识别参数和模型结构,并根据这些信息制作攻击模型。
ATM机使用的是“黑盒算法”,选手不知道相关的参数与模型,在挑战时难度更大。
在现实环境中,不同人脸识别系统所使用的算法并不相同,从这个角度来说,现实环境中利用口罩进行类似攻击,难度并不小。
3. 置信度
系统需要判断被捕捉到的对象与指定人物的特征吻合程度(即置信度)。在比赛中,要求置信度达到或大于50%,才算成功。而在实际环境中,这个数值可能更高,才能被准确识别。
4. 物理攻击&数字攻击
在实验室环境下,关于AI模型攻击的研究都是对电脑中存储的图片进行修改。而在比赛环境中,需要将修改过的图片打印出来,贴在口罩表面,去欺骗真实存在的人脸识别摄像头。这个过程中,需要考虑口罩展开后会造成图片的变形与变化。因此,除了算法和模型外,光线、口罩材质、纸片材质、佩戴者等都有可能对结果有影响。
事实上,变脸口罩常用于教学和科研当中,整场比赛也更偏向学术研究。在商用当中,人脸识别不会作为单一的身份验证,因此,我们也许不必过于担忧“变脸口罩”可能被恶意利用的风险,更应该注重的其实是个人信息泄露带来的隐患。
人脸识别:想说 AI 你不容易
今年10月份发布的《人脸识别应用公众调研报告(2020)》显示,有九成以上的受访者都使用过人脸识别,其中“刷脸支付”是最为普及的用途。有六成受访者对人脸识别提出了质疑,认为人脸识别技术有滥用趋势,还有三成受访者表示,已经因为人脸信息泄露、滥用而遭受到隐私或财产损失。
如同其他新技术新应用一样,人脸识别从刚出现到逐步推广应用,也一路面临着“争议”。同样,如同其他新技术新应用一样,如果想要安全无忧地使用,必将经过长久的实践与改进。在实际应用场景中发现问题、解决问题;在安全研究人员的研究中发现风险、提前规避;如此才能不断成长、成熟。
正如节目最后“CAAD-AI变脸口罩挑战赛”赛事负责人、极棒实验室高级研究员王海兵所说:现在的计算机信息系统存在漏洞是必然的。这些漏洞就像定时炸弹一样,随时有可能爆炸。身为白帽黑客,重要的工作目标就是找出这些漏洞,拆除这些定时炸弹。让大家更放心地使用信息系统和新技术。