你的新手機(jī)不錯(cuò)，借我刷一下臉？

　　人臉識別技術(shù)在智能手機(jī)上已經(jīng)是標(biāo)配，今天的我們刷臉解鎖、刷臉支付就像吃飯喝水一樣自然，以至于疫情期間戴口罩無法解鎖手機(jī)時(shí)，我們會(huì)感到很不習(xí)慣。

　　在享受便利的同時(shí)，卻鮮有用戶去關(guān)心安全問題。雖然手機(jī)廠商往往會(huì)在發(fā)布手機(jī)的時(shí)候宣稱「破解人臉識別的幾率低至百萬分之一」，但雙胞胎解鎖對方手機(jī)的事情仍然偶爾會(huì)上新聞。

　　最近一段時(shí)間，來自清華的 RealAI（瑞萊智慧）向我們展示了一項(xiàng)更為簡單的攻擊技術(shù)…… 在一副眼鏡的攻擊下，19 款國產(chǎn)安卓手機(jī)無一幸免，全部被快速破解。

　　具體來說，RealAI 團(tuán)隊(duì)選取了 20 款手機(jī)做了攻擊測試，覆蓋不同價(jià)位的低端機(jī)與旗艦機(jī)。

　　測試者佩戴了一副含有對抗樣本圖案的眼鏡，制作這副眼鏡的成本很低：借用一臺(tái)打印機(jī)，加上一張 A4 紙。

　　對抗眼鏡。

　　最終，除了一臺(tái) iPhone11，其余安卓機(jī)型全部解鎖成功，完成整個(gè)破解過程只花了 15 分鐘。攻擊測試人員成功解鎖手機(jī)后，任意翻閱機(jī)主的微信、信息、照片等個(gè)人隱私信息，甚至還可以通過手機(jī)銀行等個(gè)人應(yīng)用 APP 的線上身份認(rèn)證完成開戶。

　　RealAI 團(tuán)隊(duì)表示，這一攻擊測試主要利用了人工智能算法存在的「對抗樣本」漏洞，但不同于之前的攻擊嘗試主要在實(shí)驗(yàn)環(huán)境下進(jìn)行，而這次手機(jī)的攻擊測試則佐證了這一安全漏洞的真實(shí)存在性。

　　RealAI 表示，這是世界唯一通過 AI 對抗樣本技術(shù)攻破商用手機(jī)人臉解鎖的案例。

　　更為嚴(yán)重的問題在于，這一漏洞涉及所有搭載人臉識別功能的應(yīng)用和設(shè)備，一旦被黑客利用，隱私安全與財(cái)產(chǎn)安全都將受到威脅。

　　用 AI 算法，給「眼鏡」設(shè)計(jì)一層偽裝

　　整個(gè)測試過程非常簡單，RealAI 團(tuán)隊(duì)共選取了 20 款手機(jī)，除了一臺(tái) iPhone11，其余都為安卓機(jī)型，來自排名前五的國產(chǎn)品牌，每一品牌下選取了 3-4 款不同價(jià)位的手機(jī)型號，覆蓋低端機(jī)到旗艦機(jī)。

　　測試開始前，這 20 部手機(jī)被統(tǒng)一錄入同一位測試人員的人臉驗(yàn)證信息，隨后另一位作為「攻擊者」的測試人員戴上加入對抗樣本特技的「眼鏡」依次去嘗試解鎖。最終結(jié)果令人驚訝：除了 iPhone11 幸免于難，其余手機(jī)全部成功解鎖。從被破解的程度上看，攻擊這些手機(jī)的難度也幾乎沒有區(qū)別，都是秒級解鎖。

　　測試人員表示，雖然通常認(rèn)為低端手機(jī)人臉識別的安全性相對更差，但抵御攻擊性能的強(qiáng)弱似乎與手機(jī)價(jià)格并無直接聯(lián)系，其中有一款 2020 年 12 月最新發(fā)布的的旗艦機(jī)，多次測試下來發(fā)現(xiàn)，基本都是「一下子」就打開了。

　　突如其來的成功讓研究人員都覺得有點(diǎn)不可思議，要知道在一些黑客挑戰(zhàn)賽上，挑戰(zhàn)人臉識別技術(shù)的項(xiàng)目經(jīng)常伴隨著數(shù)次嘗試與失敗?！高@樣的結(jié)果還挺出乎我們意料的，我們以為會(huì)需要多調(diào)優(yōu)幾次，但沒想到這么容易就成功了?！筊ealAI 的算法人員表示。

　　那么新的攻擊方式是如何實(shí)現(xiàn)的？

　　據(jù)介紹，RealAI 使用的整個(gè)破解過程物理上只用到三樣?xùn)|西：一臺(tái)打印機(jī)、一張 A4 紙、一副眼鏡框。

　　算法人員們介紹，他們在拿到被攻擊者的照片后，通過算法在眼部區(qū)域生成干擾圖案，然后打印出來裁剪為「眼鏡」的形狀貼到鏡框上，測試人員戴上就可以實(shí)現(xiàn)破解，整個(gè)過程只花費(fèi) 15 分鐘左右。

　　左一為被攻擊對象的眼部圖像，右一、右二為生成的對抗樣本圖案。

　　與生成對抗網(wǎng)絡(luò) GAN 的對抗樣本類似的是，「眼鏡」上的花紋雖然很像復(fù)制了被攻擊者的眼部圖案，但其實(shí)并沒有這么簡單。算法人員表示，這是結(jié)合攻擊者的圖像與被攻擊者的圖像通過算法計(jì)算生成的擾動(dòng)圖案，在 AI 學(xué)界稱為「對抗樣本」。

　　將攻擊者圖像設(shè)定為輸入值，被攻擊者圖像設(shè)定為輸出值，算法會(huì)自動(dòng)計(jì)算出最佳的對抗樣本圖案，保證兩張圖像相似度達(dá)到最高值。

　　看似粗糙的攻擊手段，核心的對抗算法研發(fā)其實(shí)極具技術(shù)門檻。

　　但這也并不意味這一安全問題構(gòu)不成威脅，RealAI 團(tuán)隊(duì)表示，「雖然開發(fā)出核心算法難度很大，但如果被黑客惡意開源的話，上手難度就大大降低了，剩下的工作就只是找張照片?！寡酝庵饩褪?，只要能拿到被攻擊對象的 1 張照片，大部分人都能很快制作出犯罪工具實(shí)現(xiàn)破解。

　　對抗樣本攻擊，從實(shí)驗(yàn)室走進(jìn)現(xiàn)實(shí)

　　對抗樣本攻擊的概念其實(shí)并不新穎，2013 年，Google 研究員 Szegedy 等人發(fā)現(xiàn)機(jī)器學(xué)習(xí)容易遭受欺騙，通過故意在數(shù)據(jù)源上添加細(xì)微擾動(dòng)，就可以讓機(jī)器學(xué)習(xí)模型作出錯(cuò)誤輸出，對抗樣本攻擊也被視為 AI 安全領(lǐng)域的一大隱憂。

　　在某些神經(jīng)網(wǎng)絡(luò)中，這張圖像被認(rèn)為是熊貓的置信度是 57.7%，且其被分類為熊貓類別的置信度是所有類別中最高的，因此網(wǎng)絡(luò)得出一個(gè)結(jié)論：圖像中有一只熊貓。但是，只需要添加少量精心構(gòu)造的噪聲，可以得到一個(gè)這樣的圖像（右圖）：對于人類而言，它和左圖幾乎一模一樣，但是網(wǎng)絡(luò)卻認(rèn)為其被分類為「長臂猿」的置信度高達(dá) 99.3%。

　　信息安全的本質(zhì)是攻防，AI 安全領(lǐng)域也是如此?？茖W(xué)家們通過不斷開展新的攻擊嘗試來試探對抗樣本攻擊的能力邊界。

　　近年來，我們看到了 AI 研究者們展示的各種攻擊方式：讓圖像識別算法將 3D 打印烏龜認(rèn)作步槍，攻擊目標(biāo)檢測系統(tǒng)讓人體實(shí)現(xiàn)「隱身」，破解物體識別檢測器讓自動(dòng)駕駛錯(cuò)誤識別停車標(biāo)志…

　　但技術(shù)的發(fā)展存在一個(gè)過程，很多在實(shí)驗(yàn)環(huán)境下開展的攻擊研究經(jīng)常被證明并不穩(wěn)定，難以走出實(shí)驗(yàn)室，無法帶來明顯的安全隱患。

　　包括 2019 年 8 月份，來自莫斯科國立大學(xué)、華為莫斯科研究中心的研究者們曾發(fā)布，在腦門上貼一張對抗樣本圖案，能讓公開的 Face ID 系統(tǒng)識別出錯(cuò)，這雖然被視為 AI 算法首次在現(xiàn)實(shí)世界中實(shí)現(xiàn)攻擊，但攻擊對象仍是公開版的識別系統(tǒng)，其安全性、復(fù)雜性與真正商用系統(tǒng)仍有很大差距。

　　RealAI 團(tuán)隊(duì)本次實(shí)現(xiàn)的攻擊卻真正打破了「難以復(fù)現(xiàn)」的情況，一方面證實(shí)了對抗樣本攻擊的切實(shí)威脅，一方面也印證了人臉識別這項(xiàng)數(shù)千萬人都在使用的應(yīng)用技術(shù)正面臨全新的安全挑戰(zhàn)。

　　近年來，關(guān)于人臉識別的爭議一直存在，此前也陸續(xù)曝光過「一張打印照片就能代替真人刷臉」、「利用視頻欺騙人臉身份認(rèn)證」、「打印 3D 模破解手機(jī)人臉解鎖」等等安全事件。

　　不過，RealAI 算法人員表示，目前市面上常見的攻擊手段以「假體攻擊」為主，比如照片、動(dòng)態(tài)視頻、3D 頭?；蛎婢撸R別終端采集的仍然是機(jī)主本人的圖像素材，主要難點(diǎn)在于攻破動(dòng)態(tài)檢測，不過這類攻擊目前已經(jīng)很容易被防范——2014 年防假體標(biāo)準(zhǔn)推出，讓業(yè)界主流算都搭載了活體檢測能力。

　　隨后業(yè)內(nèi)又出現(xiàn)了網(wǎng)絡(luò)攻擊方法，通過劫持?jǐn)z像頭來繞過活體檢測。但對抗樣本攻擊完全不受活體檢測限制，是針對識別算法模型的攻擊，終端采集到的是攻擊者的圖像，通過活體檢測后，因?yàn)樘砑恿司植繑_動(dòng)，識別算法發(fā)生了錯(cuò)誤識別。

　　「對于人臉識別應(yīng)用來說，這是一個(gè)此前未曾出現(xiàn)的攻擊方式，」RealAI 算法人員解釋道?！溉绻讶四樧R別比喻成一間屋子，每一個(gè)漏洞的出現(xiàn)就相當(dāng)于屋子里面多個(gè)沒關(guān)嚴(yán)的窗戶，活體檢測等安全認(rèn)證技術(shù)相當(dāng)于一把把鎖。對于廠商來說，他們或許以為這間屋子已經(jīng)關(guān)嚴(yán)實(shí)了，但對抗樣本的出現(xiàn)無疑是另一扇窗，而此前完全沒有被發(fā)現(xiàn)，這是一個(gè)新的攻擊面?！?/p>

　　我們能防御這種攻擊嗎？

　　在人臉識別應(yīng)用泛濫的今天，人臉識別與個(gè)人隱私、個(gè)人身份、個(gè)人財(cái)產(chǎn)等等因素都息息相關(guān)，這個(gè)口子一旦被撕開，連鎖反應(yīng)就被打開。

　　RealAI 表示，現(xiàn)有的人臉識別技術(shù)可靠度遠(yuǎn)遠(yuǎn)不夠，一方面受制于技術(shù)成熟度，另一方面受至于技術(shù)提供方與應(yīng)用方的不重視。「順利解鎖手機(jī)只是第一步，其實(shí)我們通過測試發(fā)現(xiàn)，手機(jī)上的很多應(yīng)用，包括政務(wù)類、金融類的應(yīng)用 APP，都可以通過對抗樣本攻擊來通過認(rèn)證，甚至我們能夠假冒機(jī)主在線上完成銀行開戶，下一步就是轉(zhuǎn)賬。」

　　未來是否會(huì)有專門的產(chǎn)品與技術(shù)來應(yīng)對對抗樣本攻擊？RealAI 的回復(fù)是，這是一定的。而且他們目前已開發(fā)了相應(yīng)的防御算法能夠協(xié)助手機(jī)廠商進(jìn)行升級。

　　「所有的攻擊研究，最終的目標(biāo)還都是為了找出漏洞，然后再去針對性地打補(bǔ)丁、做防御。」

　　在這一方面，RealAI 去年推出了人工智能安全平臺(tái) RealSafe。他們將這款產(chǎn)品定義為 AI 系統(tǒng)的殺毒軟件與防火墻系統(tǒng)，主要就是針對人臉識別等應(yīng)用級 AI 系統(tǒng)做防御升級，幫助抵御對抗樣本攻擊等安全風(fēng)險(xiǎn)。

　　對于人臉識別技術(shù)的提供方，基于這一平臺(tái)，可以低成本快速實(shí)現(xiàn)安全迭代；對于人臉識別技術(shù)的應(yīng)用方，可以通過這一平臺(tái)對已經(jīng)落地的系統(tǒng)應(yīng)用進(jìn)行安全升級，也可以在未來的產(chǎn)品采購，加強(qiáng)對人臉識別技術(shù)、相關(guān)信息系統(tǒng)和終端設(shè)備的安全性檢測。

　　但人臉識別技術(shù)引發(fā)的擔(dān)憂遠(yuǎn)不止于此，除了技術(shù)側(cè)的解決方案之外， 最終填補(bǔ)漏洞還需要依賴社會(huì)對于人工智能安全問題的意識提升。