你的新手機(jī)不錯(cuò)，借我刷一下臉？

　　人臉識(shí)別技術(shù)在智能手機(jī)上已經(jīng)是標(biāo)配，今天的我們刷臉解鎖、刷臉支付就像吃飯喝水一樣自然，以至于疫情期間戴口罩無(wú)法解鎖手機(jī)時(shí)，我們會(huì)感到很不習(xí)慣。

　　在享受便利的同時(shí)，卻鮮有用戶去關(guān)心安全問(wèn)題。雖然手機(jī)廠商往往會(huì)在發(fā)布手機(jī)的時(shí)候宣稱「破解人臉識(shí)別的幾率低至百萬(wàn)分之一」，但雙胞胎解鎖對(duì)方手機(jī)的事情仍然偶爾會(huì)上新聞。

　　最近一段時(shí)間，來(lái)自清華的 RealAI（瑞萊智慧）向我們展示了一項(xiàng)更為簡(jiǎn)單的攻擊技術(shù)…… 在一副眼鏡的攻擊下，19 款國(guó)產(chǎn)安卓手機(jī)無(wú)一幸免，全部被快速破解。

　　具體來(lái)說(shuō)，RealAI 團(tuán)隊(duì)選取了 20 款手機(jī)做了攻擊測(cè)試，覆蓋不同價(jià)位的低端機(jī)與旗艦機(jī)。

　　測(cè)試者佩戴了一副含有對(duì)抗樣本圖案的眼鏡，制作這副眼鏡的成本很低：借用一臺(tái)打印機(jī)，加上一張 A4 紙。

　　對(duì)抗眼鏡。

　　最終，除了一臺(tái) iPhone11，其余安卓機(jī)型全部解鎖成功，完成整個(gè)破解過(guò)程只花了 15 分鐘。攻擊測(cè)試人員成功解鎖手機(jī)后，任意翻閱機(jī)主的微信、信息、照片等個(gè)人隱私信息，甚至還可以通過(guò)手機(jī)銀行等個(gè)人應(yīng)用 APP 的線上身份認(rèn)證完成開戶。

　　RealAI 團(tuán)隊(duì)表示，這一攻擊測(cè)試主要利用了人工智能算法存在的「對(duì)抗樣本」漏洞，但不同于之前的攻擊嘗試主要在實(shí)驗(yàn)環(huán)境下進(jìn)行，而這次手機(jī)的攻擊測(cè)試則佐證了這一安全漏洞的真實(shí)存在性。

　　RealAI 表示，這是世界唯一通過(guò) AI 對(duì)抗樣本技術(shù)攻破商用手機(jī)人臉解鎖的案例。

　　更為嚴(yán)重的問(wèn)題在于，這一漏洞涉及所有搭載人臉識(shí)別功能的應(yīng)用和設(shè)備，一旦被黑客利用，隱私安全與財(cái)產(chǎn)安全都將受到威脅。

　　用 AI 算法，給「眼鏡」設(shè)計(jì)一層偽裝

　　整個(gè)測(cè)試過(guò)程非常簡(jiǎn)單，RealAI 團(tuán)隊(duì)共選取了 20 款手機(jī)，除了一臺(tái) iPhone11，其余都為安卓機(jī)型，來(lái)自排名前五的國(guó)產(chǎn)品牌，每一品牌下選取了 3-4 款不同價(jià)位的手機(jī)型號(hào)，覆蓋低端機(jī)到旗艦機(jī)。

　　測(cè)試開始前，這 20 部手機(jī)被統(tǒng)一錄入同一位測(cè)試人員的人臉驗(yàn)證信息，隨后另一位作為「攻擊者」的測(cè)試人員戴上加入對(duì)抗樣本特技的「眼鏡」依次去嘗試解鎖。最終結(jié)果令人驚訝：除了 iPhone11 幸免于難，其余手機(jī)全部成功解鎖。從被破解的程度上看，攻擊這些手機(jī)的難度也幾乎沒有區(qū)別，都是秒級(jí)解鎖。

　　測(cè)試人員表示，雖然通常認(rèn)為低端手機(jī)人臉識(shí)別的安全性相對(duì)更差，但抵御攻擊性能的強(qiáng)弱似乎與手機(jī)價(jià)格并無(wú)直接聯(lián)系，其中有一款 2020 年 12 月最新發(fā)布的的旗艦機(jī)，多次測(cè)試下來(lái)發(fā)現(xiàn)，基本都是「一下子」就打開了。

　　突如其來(lái)的成功讓研究人員都覺得有點(diǎn)不可思議，要知道在一些黑客挑戰(zhàn)賽上，挑戰(zhàn)人臉識(shí)別技術(shù)的項(xiàng)目經(jīng)常伴隨著數(shù)次嘗試與失敗?！高@樣的結(jié)果還挺出乎我們意料的，我們以為會(huì)需要多調(diào)優(yōu)幾次，但沒想到這么容易就成功了?！筊ealAI 的算法人員表示。

　　那么新的攻擊方式是如何實(shí)現(xiàn)的？

　　據(jù)介紹，RealAI 使用的整個(gè)破解過(guò)程物理上只用到三樣?xùn)|西：一臺(tái)打印機(jī)、一張 A4 紙、一副眼鏡框。

　　算法人員們介紹，他們?cè)谀玫奖还粽叩恼掌?，通過(guò)算法在眼部區(qū)域生成干擾圖案，然后打印出來(lái)裁剪為「眼鏡」的形狀貼到鏡框上，測(cè)試人員戴上就可以實(shí)現(xiàn)破解，整個(gè)過(guò)程只花費(fèi) 15 分鐘左右。

　　左一為被攻擊對(duì)象的眼部圖像，右一、右二為生成的對(duì)抗樣本圖案。

　　與生成對(duì)抗網(wǎng)絡(luò) GAN 的對(duì)抗樣本類似的是，「眼鏡」上的花紋雖然很像復(fù)制了被攻擊者的眼部圖案，但其實(shí)并沒有這么簡(jiǎn)單。算法人員表示，這是結(jié)合攻擊者的圖像與被攻擊者的圖像通過(guò)算法計(jì)算生成的擾動(dòng)圖案，在 AI 學(xué)界稱為「對(duì)抗樣本」。

　　將攻擊者圖像設(shè)定為輸入值，被攻擊者圖像設(shè)定為輸出值，算法會(huì)自動(dòng)計(jì)算出最佳的對(duì)抗樣本圖案，保證兩張圖像相似度達(dá)到最高值。

　　看似粗糙的攻擊手段，核心的對(duì)抗算法研發(fā)其實(shí)極具技術(shù)門檻。

　　但這也并不意味這一安全問(wèn)題構(gòu)不成威脅，RealAI 團(tuán)隊(duì)表示，「雖然開發(fā)出核心算法難度很大，但如果被黑客惡意開源的話，上手難度就大大降低了，剩下的工作就只是找張照片?！寡酝庵饩褪?，只要能拿到被攻擊對(duì)象的 1 張照片，大部分人都能很快制作出犯罪工具實(shí)現(xiàn)破解。

　　對(duì)抗樣本攻擊，從實(shí)驗(yàn)室走進(jìn)現(xiàn)實(shí)

　　對(duì)抗樣本攻擊的概念其實(shí)并不新穎，2013 年，Google 研究員 Szegedy 等人發(fā)現(xiàn)機(jī)器學(xué)習(xí)容易遭受欺騙，通過(guò)故意在數(shù)據(jù)源上添加細(xì)微擾動(dòng)，就可以讓機(jī)器學(xué)習(xí)模型作出錯(cuò)誤輸出，對(duì)抗樣本攻擊也被視為 AI 安全領(lǐng)域的一大隱憂。

　　在某些神經(jīng)網(wǎng)絡(luò)中，這張圖像被認(rèn)為是熊貓的置信度是 57.7%，且其被分類為熊貓類別的置信度是所有類別中最高的，因此網(wǎng)絡(luò)得出一個(gè)結(jié)論：圖像中有一只熊貓。但是，只需要添加少量精心構(gòu)造的噪聲，可以得到一個(gè)這樣的圖像（右圖）：對(duì)于人類而言，它和左圖幾乎一模一樣，但是網(wǎng)絡(luò)卻認(rèn)為其被分類為「長(zhǎng)臂猿」的置信度高達(dá) 99.3%。

　　信息安全的本質(zhì)是攻防，AI 安全領(lǐng)域也是如此。科學(xué)家們通過(guò)不斷開展新的攻擊嘗試來(lái)試探對(duì)抗樣本攻擊的能力邊界。

　　近年來(lái)，我們看到了 AI 研究者們展示的各種攻擊方式：讓圖像識(shí)別算法將 3D 打印烏龜認(rèn)作步槍，攻擊目標(biāo)檢測(cè)系統(tǒng)讓人體實(shí)現(xiàn)「隱身」，破解物體識(shí)別檢測(cè)器讓自動(dòng)駕駛錯(cuò)誤識(shí)別停車標(biāo)志…

　　但技術(shù)的發(fā)展存在一個(gè)過(guò)程，很多在實(shí)驗(yàn)環(huán)境下開展的攻擊研究經(jīng)常被證明并不穩(wěn)定，難以走出實(shí)驗(yàn)室，無(wú)法帶來(lái)明顯的安全隱患。

　　包括 2019 年 8 月份，來(lái)自莫斯科國(guó)立大學(xué)、華為莫斯科研究中心的研究者們?cè)l(fā)布，在腦門上貼一張對(duì)抗樣本圖案，能讓公開的 Face ID 系統(tǒng)識(shí)別出錯(cuò)，這雖然被視為 AI 算法首次在現(xiàn)實(shí)世界中實(shí)現(xiàn)攻擊，但攻擊對(duì)象仍是公開版的識(shí)別系統(tǒng)，其安全性、復(fù)雜性與真正商用系統(tǒng)仍有很大差距。

　　RealAI 團(tuán)隊(duì)本次實(shí)現(xiàn)的攻擊卻真正打破了「難以復(fù)現(xiàn)」的情況，一方面證實(shí)了對(duì)抗樣本攻擊的切實(shí)威脅，一方面也印證了人臉識(shí)別這項(xiàng)數(shù)千萬(wàn)人都在使用的應(yīng)用技術(shù)正面臨全新的安全挑戰(zhàn)。

　　近年來(lái)，關(guān)于人臉識(shí)別的爭(zhēng)議一直存在，此前也陸續(xù)曝光過(guò)「一張打印照片就能代替真人刷臉」、「利用視頻欺騙人臉身份認(rèn)證」、「打印 3D 模破解手機(jī)人臉解鎖」等等安全事件。

　　不過(guò)，RealAI 算法人員表示，目前市面上常見的攻擊手段以「假體攻擊」為主，比如照片、動(dòng)態(tài)視頻、3D 頭?；蛎婢撸R(shí)別終端采集的仍然是機(jī)主本人的圖像素材，主要難點(diǎn)在于攻破動(dòng)態(tài)檢測(cè)，不過(guò)這類攻擊目前已經(jīng)很容易被防范——2014 年防假體標(biāo)準(zhǔn)推出，讓業(yè)界主流算都搭載了活體檢測(cè)能力。

　　隨后業(yè)內(nèi)又出現(xiàn)了網(wǎng)絡(luò)攻擊方法，通過(guò)劫持?jǐn)z像頭來(lái)繞過(guò)活體檢測(cè)。但對(duì)抗樣本攻擊完全不受活體檢測(cè)限制，是針對(duì)識(shí)別算法模型的攻擊，終端采集到的是攻擊者的圖像，通過(guò)活體檢測(cè)后，因?yàn)樘砑恿司植繑_動(dòng)，識(shí)別算法發(fā)生了錯(cuò)誤識(shí)別。

　　「對(duì)于人臉識(shí)別應(yīng)用來(lái)說(shuō)，這是一個(gè)此前未曾出現(xiàn)的攻擊方式，」RealAI 算法人員解釋道?！溉绻讶四樧R(shí)別比喻成一間屋子，每一個(gè)漏洞的出現(xiàn)就相當(dāng)于屋子里面多個(gè)沒關(guān)嚴(yán)的窗戶，活體檢測(cè)等安全認(rèn)證技術(shù)相當(dāng)于一把把鎖。對(duì)于廠商來(lái)說(shuō)，他們或許以為這間屋子已經(jīng)關(guān)嚴(yán)實(shí)了，但對(duì)抗樣本的出現(xiàn)無(wú)疑是另一扇窗，而此前完全沒有被發(fā)現(xiàn)，這是一個(gè)新的攻擊面?！?/p>

　　我們能防御這種攻擊嗎？

　　在人臉識(shí)別應(yīng)用泛濫的今天，人臉識(shí)別與個(gè)人隱私、個(gè)人身份、個(gè)人財(cái)產(chǎn)等等因素都息息相關(guān)，這個(gè)口子一旦被撕開，連鎖反應(yīng)就被打開。

　　RealAI 表示，現(xiàn)有的人臉識(shí)別技術(shù)可靠度遠(yuǎn)遠(yuǎn)不夠，一方面受制于技術(shù)成熟度，另一方面受至于技術(shù)提供方與應(yīng)用方的不重視?！疙樌怄i手機(jī)只是第一步，其實(shí)我們通過(guò)測(cè)試發(fā)現(xiàn)，手機(jī)上的很多應(yīng)用，包括政務(wù)類、金融類的應(yīng)用 APP，都可以通過(guò)對(duì)抗樣本攻擊來(lái)通過(guò)認(rèn)證，甚至我們能夠假冒機(jī)主在線上完成銀行開戶，下一步就是轉(zhuǎn)賬?！?/p>

　　未來(lái)是否會(huì)有專門的產(chǎn)品與技術(shù)來(lái)應(yīng)對(duì)對(duì)抗樣本攻擊？RealAI 的回復(fù)是，這是一定的。而且他們目前已開發(fā)了相應(yīng)的防御算法能夠協(xié)助手機(jī)廠商進(jìn)行升級(jí)。

　　「所有的攻擊研究，最終的目標(biāo)還都是為了找出漏洞，然后再去針對(duì)性地打補(bǔ)丁、做防御?！?/p>

　　在這一方面，RealAI 去年推出了人工智能安全平臺(tái) RealSafe。他們將這款產(chǎn)品定義為 AI 系統(tǒng)的殺毒軟件與防火墻系統(tǒng)，主要就是針對(duì)人臉識(shí)別等應(yīng)用級(jí) AI 系統(tǒng)做防御升級(jí)，幫助抵御對(duì)抗樣本攻擊等安全風(fēng)險(xiǎn)。

　　對(duì)于人臉識(shí)別技術(shù)的提供方，基于這一平臺(tái)，可以低成本快速實(shí)現(xiàn)安全迭代；對(duì)于人臉識(shí)別技術(shù)的應(yīng)用方，可以通過(guò)這一平臺(tái)對(duì)已經(jīng)落地的系統(tǒng)應(yīng)用進(jìn)行安全升級(jí)，也可以在未來(lái)的產(chǎn)品采購(gòu)，加強(qiáng)對(duì)人臉識(shí)別技術(shù)、相關(guān)信息系統(tǒng)和終端設(shè)備的安全性檢測(cè)。

　　但人臉識(shí)別技術(shù)引發(fā)的擔(dān)憂遠(yuǎn)不止于此，除了技術(shù)側(cè)的解決方案之外， 最終填補(bǔ)漏洞還需要依賴社會(huì)對(duì)于人工智能安全問(wèn)題的意識(shí)提升。