作者:泽南、蛋酱 你的新手机不错,借我刷一下脸? 人脸辨认技能在智能手机上已经是标配,本日的我们刷脸解锁、刷脸付出就像用饭喝水一样天然,以至于疫情期间戴口罩无法解锁手机时,我们会感到很不风俗。 在享受便利的同时,却鲜有效户去关心安全题目。固然手机厂商每每会在发布手机的时间宣称「破解人脸辨认的几率低至百万分之一」,但双胞胎解锁对方手机的事变仍旧偶然会上消息。 近来一段时间,来自清华的 RealAI(瑞莱聪明)向我们展示了一项更为简朴的攻击技能…… 在一副眼镜的攻击下,19 款国产安卓手机无一幸免,全部被快速破解。 详细来说,RealAI 团队选取了 20 款手机做了攻击测试,覆盖差别价位的低端机与旗舰机。  测试者佩带了一副含有对抗样本图案的眼镜,制作这副眼镜的本钱很低:借用一台打印机,加上一张 A4 纸。 对抗眼镜。终极,除了一台 iPhone11,别的安卓机型全部解锁乐成,完成整个破解过程只花了 15 分钟。攻击测试职员乐成解锁手机后,恣意翻阅机主的微信、信息、照片等个人隐私信息,乃至还可以通过手机银行等个人应用 APP 的线上身份认证完成开户。 RealAI 团队表现,这一攻击测试重要使用了人工智能算法存在的「对抗样本」毛病,但差别于之前的攻击实验重要在实行情况下举行,而这次手机的攻击测试则佐证了这一安全毛病的真实存在性。  RealAI 表现,这是天下唯一通过 AI 对抗样本技能攻破商用手机人脸解锁的案例。更为严峻的题目在于,这一毛病涉及全部搭载人脸辨认功能的应用和装备,一旦被黑客使用,隐私安全与产业安全都将受到威胁。 用 AI 算法,给「眼镜」计划一层伪装 整个测试过程非常简朴,RealAI 团队共选取了 20 款手机,除了一台 iPhone11,别的都为安卓机型,来自排名前五的国产物牌,每一品牌下选取了 3-4 款差别价位的手机型号,覆盖低端机到旗舰机。 测试开始前,这 20 部手机被同一录入同一位测试职员的人脸验证信息,随后另一位作为「攻击者」的测试职员戴上参加对抗样本绝技的「眼镜」依次去实验解锁。终极效果令人惊奇:除了 iPhone11 幸免于难,别的手机全部乐成解锁。从被破解的水平上看,攻击这些手机的难度也险些没有区别,都是秒级解锁。 测试职员表现,固然通常以为低端手机人脸辨认的安全性相对更差,但抵抗攻击性能的强弱好像与手机代价并无直接接洽,此中有一款 2020 年 12 月最新发布的的旗舰机,多次测试下来发现,根本都是「一下子」就打开了。 突如其来的乐成让研究职员都以为有点不可思议,要知道在一些黑客挑衅赛上,挑衅人脸辨认技能的项目常常陪同着数次实验与失败。「如许的效果还挺出乎我们料想的,我们以为会必要多调优频频,但没想到这么轻易就乐成了。」RealAI 的算法职员表现。 那么新的攻击方式是怎样实现的? 据先容,RealAI 利用的整个破解过程物理上只用到三样东西:一台打印机、一张 A4 纸、一副眼镜框。 算法职员们先容,他们在拿到被攻击者的照片后,通过算法在眼部地区天生干扰图案,然后打印出来裁剪为「眼镜」的外形贴到镜框上,测试职员戴上就可以实现破解,整个过程只耗费 15 分钟左右。  左一为被攻击对象的眼部图像,右一、右二为天生的对抗样本图案。与天生对抗网络 GAN 的对抗样本雷同的是,「眼镜」上的斑纹固然很像复制了被攻击者的眼部图案,但实在并没有这么简朴。算法职员表现,这是联合攻击者的图像与被攻击者的图像通过算法盘算天生的扰动图案,在 AI 学界称为「对抗样本」。 将攻击者图像设定为输入值,被攻击者图像设定为输出值,算法会主动盘算出最佳的对抗样本图案,包管两张图像相似度到达最高值。 看似粗糙的攻击本领,焦点的对抗算法研发实在极具技能门槛。 但这也并不意味这一安全题目构不成威胁,RealAI 团队表现,「固然开辟出焦点算法难度很大,但假如被黑客恶意开源的话,上手难度就大大低落了,剩下的工作就只是找张照片。」言外之意就是,只要能拿到被攻击对象的 1 张照片,大部门人都能很快制作出犯罪工具实现破解。 对抗样本攻击,从实行室走进实际 对抗样本攻击的概念实在并不新奇,2013 年,Google 研究员 Szegedy 等人发现呆板学习轻易遭受诱骗,通过故意在数据源上添加渺小扰动,就可以让呆板学习模子作堕落误输出,对抗样本攻击也被视为 AI 安全范畴的一大隐忧。  在某些神经网络中,这张图像被以为是熊猫的置信度是 57.7%,且其被分类为熊猫种别的置信度是全部种别中最高的,因此网络得出一个结论:图像中有一只熊猫。但是,只必要添加少量经心构造的噪声,可以得到一个如许的图像(右图):对于人类而言,它和左图险些千篇一律,但是网络却以为其被分类为「长臂猿」的置信度高达 99.3%。信息安全的本质是攻防,AI 安全范畴也是云云。科学家们通过不停开展新的攻击实验来摸索对抗样本攻击的本领界限。 比年来,我们看到了 AI 研究者们展示的各种攻击方式:让图像辨认算法将 3D 打印乌龟认作步枪,攻击目的检测体系让人体实现「隐身」,破解物体辨认检测器让主动驾驶错误辨认停车标记... 但技能的发展存在一个过程,许多在实行情况下开展的攻击研究常常被证实并不稳固,难以走出实行室,无法带来显着的安全隐患。 包罗 2019 年 8 月份,来自莫斯科国立大学、华为莫斯科研究中央的研究者们曾发布,在脑门上贴一张对抗样本图案,能让公开的 Face ID 体系辨认堕落,这固然被视为 AI 算法初次在实际天下中实现攻击,但攻击对象还是公开版的辨认体系,其安全性、复杂性与真正商用体系仍有很大差距。 RealAI 团队本次实现的攻击却真正冲破了「难以复现」的环境,一方面证明了对抗样本攻击的切实威胁,一方面也印证了人脸辨认这项数万万人都在利用的应用技能正面对全新的安全挑衅。 比年来,关于人脸辨认的争议不停存在,此前也连续曝光过「一张打印照片就能取代真人刷脸」、「使用视频欺哄人脸身份认证」、「打印 3D 模破解手机人脸解锁」等等安全变乱。 不外,RealAI 算法职员表现,现在市面上常见的攻击本领以「假体攻击」为主,好比照片、动态视频、3D 头模或面具,辨认终端收罗的仍旧是机主本人的图像素材,重要难点在于攻破动态检测,不外这类攻击现在已经很轻易被防范——2014 年防假体尺度推出,让业界主流算都搭载了活体检测本领。 随后业内又出现了网络攻击方法,通过挟制摄像头来绕过活体检测。但对抗样本攻击完全不受活体检测限定,是针对辨认算法模子的攻击,终端收罗到的是攻击者的图像,通过活体检测后,由于添加了局部扰动,辨认算法发生了错误辨认。 「对于人脸辨认应用来说,这是一个此前未曾出现的攻击方式,」RealAI 算法职员表明道。「假如把人脸辨认比喻成一间屋子,每一个毛病的出现就相称于屋子内里多个没关严的窗户,活体检测等安全认证技能相称于一把把锁。对于厂商来说,他们大概以为这间屋子已经关严实了,但对抗样本的出现无疑是另一扇窗,而此前完全没有被发现,这是一个新的攻击面。」 我们能防御这种攻击吗? 在人脸辨认应用泛滥的本日,人脸辨认与个人隐私、个人身份、个人产业等等因素都痛痒相关,这个口子一旦被撕开,连锁反应就被打开。 RealAI 表现,现有的人脸辨认技能可靠度远远不敷,一方面受制于技能成熟度,另一方面受至于技能提供方与应用方的不器重。「顺遂解锁手机只是第一步,实在我们通过测试发现,手机上的许多应用,包罗政务类、金融类的应用 APP,都可以通过对抗样本攻击来通过认证,乃至我们可以或许冒充机主在线上完成银行开户,下一步就是转账。」 将来是否会有专门的产物与技能来应对对抗样本攻击?RealAI 的复兴是,这是肯定的。而且他们现在已开辟了相应的防御算法可以或许帮忙手机厂商举行升级。 「全部的攻击研究,终极的目的还都是为了找出毛病,然后再去针对性地打补丁、做防御。」 在这一方面,RealAI 客岁推出了人工智能安全平台 RealSafe。他们将这款产物界说为 AI 体系的杀毒软件与防火墙体系,重要就是针对人脸辨认等应用级 AI 体系做防御升级,资助抵抗对抗样本攻击等安全风险。 对于人脸辨认技能的提供方,基于这一平台,可以低本钱快速实现安全迭代;对于人脸辨认技能的应用方,可以通过这一平台对已经落地的体系应用举行安全升级,也可以在将来的产物采购,增强对人脸辨认技能、相干信息体系和终端装备的安全性检测。 但人脸辨认技能引发的担心远不止于此,除了技能侧的办理方案之外, 终极弥补毛病还必要依靠社会对于人工智能安全题目的意识提拔。 百万级文献分析,十万字深入解读 2020-2021 环球AI技能发展趋势陈诉 陈诉内容涵盖人工智能顶会趋势分析、团体技能趋势发展结论、六大细分范畴(天然语言处置惩罚、盘算机视觉、呆板人与主动化技能、呆板学习、智能底子办法、数据智能技能、前沿智能技能)技能发展趋势数据与问卷结论详解,末了附有六大技能范畴5年突破变乱、Synced Indicator 完备数据。 THE END 转载请接洽本公众号得到授权 投稿或寻求报道:content@jiqizhixin.com 原标题:《19款国产手机无一幸免:15分钟破解人脸辨认,打印眼镜让刷脸形同虚设》 阅读原文 |
|Archiver|手机版|小黑屋|吉安论坛
( 赣ICP备2021010355号|
赣公网安备36082102000120号 )值班电话:13410000095
站点地图
GMT+8, 2025-5-1 10:40 , Processed in 0.056436 second(s), 20 queries .
Powered by Discuz! X3.5
© 2001-2024 Discuz! Team.
