你的新手機不錯，借我刷一下臉？

　　人臉識別技術在智能手機上已經(jīng)是標配，今天的我們刷臉解鎖、刷臉支付就像吃飯喝水一樣自然，以至于疫情期間戴口罩無法解鎖手機時，我們會感到很不習慣。

　　在享受便利的同時，卻鮮有用戶去關心安全問題。雖然手機廠商往往會在發(fā)布手機的時候宣稱「破解人臉識別的幾率低至百萬分之一」，但雙胞胎解鎖對方手機的事情仍然偶爾會上新聞。

　　最近一段時間，來自清華的 RealAI（瑞萊智慧）向我們展示了一項更為簡單的攻擊技術…… 在一副眼鏡的攻擊下，19 款國產(chǎn)安卓手機無一幸免，全部被快速破解。

　　具體來說，RealAI 團隊選取了 20 款手機做了攻擊測試，覆蓋不同價位的低端機與旗艦機。

　　測試者佩戴了一副含有對抗樣本圖案的眼鏡，制作這副眼鏡的成本很低：借用一臺打印機，加上一張 A4 紙。

　　對抗眼鏡。

　　最終，除了一臺 iPhone11，其余安卓機型全部解鎖成功，完成整個破解過程只花了 15 分鐘。攻擊測試人員成功解鎖手機后，任意翻閱機主的微信、信息、照片等個人隱私信息，甚至還可以通過手機銀行等個人應用 APP 的線上身份認證完成開戶。

　　RealAI 團隊表示，這一攻擊測試主要利用了人工智能算法存在的「對抗樣本」漏洞，但不同于之前的攻擊嘗試主要在實驗環(huán)境下進行，而這次手機的攻擊測試則佐證了這一安全漏洞的真實存在性。

　　RealAI 表示，這是世界唯一通過 AI 對抗樣本技術攻破商用手機人臉解鎖的案例。

　　更為嚴重的問題在于，這一漏洞涉及所有搭載人臉識別功能的應用和設備，一旦被黑客利用，隱私安全與財產(chǎn)安全都將受到威脅。

　　用 AI 算法，給「眼鏡」設計一層偽裝

　　整個測試過程非常簡單，RealAI 團隊共選取了 20 款手機，除了一臺 iPhone11，其余都為安卓機型，來自排名前五的國產(chǎn)品牌，每一品牌下選取了 3-4 款不同價位的手機型號，覆蓋低端機到旗艦機。

　　測試開始前，這 20 部手機被統(tǒng)一錄入同一位測試人員的人臉驗證信息，隨后另一位作為「攻擊者」的測試人員戴上加入對抗樣本特技的「眼鏡」依次去嘗試解鎖。最終結果令人驚訝：除了 iPhone11 幸免于難，其余手機全部成功解鎖。從被破解的程度上看，攻擊這些手機的難度也幾乎沒有區(qū)別，都是秒級解鎖。

　　測試人員表示，雖然通常認為低端手機人臉識別的安全性相對更差，但抵御攻擊性能的強弱似乎與手機價格并無直接聯(lián)系，其中有一款 2020 年 12 月最新發(fā)布的的旗艦機，多次測試下來發(fā)現(xiàn)，基本都是「一下子」就打開了。

　　突如其來的成功讓研究人員都覺得有點不可思議，要知道在一些黑客挑戰(zhàn)賽上，挑戰(zhàn)人臉識別技術的項目經(jīng)常伴隨著數(shù)次嘗試與失敗。「這樣的結果還挺出乎我們意料的，我們以為會需要多調(diào)優(yōu)幾次，但沒想到這么容易就成功了?！筊ealAI 的算法人員表示。

　　那么新的攻擊方式是如何實現(xiàn)的？

　　據(jù)介紹，RealAI 使用的整個破解過程物理上只用到三樣東西：一臺打印機、一張 A4 紙、一副眼鏡框。

　　算法人員們介紹，他們在拿到被攻擊者的照片后，通過算法在眼部區(qū)域生成干擾圖案，然后打印出來裁剪為「眼鏡」的形狀貼到鏡框上，測試人員戴上就可以實現(xiàn)破解，整個過程只花費 15 分鐘左右。

　　左一為被攻擊對象的眼部圖像，右一、右二為生成的對抗樣本圖案。

　　與生成對抗網(wǎng)絡 GAN 的對抗樣本類似的是，「眼鏡」上的花紋雖然很像復制了被攻擊者的眼部圖案，但其實并沒有這么簡單。算法人員表示，這是結合攻擊者的圖像與被攻擊者的圖像通過算法計算生成的擾動圖案，在 AI 學界稱為「對抗樣本」。

　　將攻擊者圖像設定為輸入值，被攻擊者圖像設定為輸出值，算法會自動計算出最佳的對抗樣本圖案，保證兩張圖像相似度達到最高值。

　　看似粗糙的攻擊手段，核心的對抗算法研發(fā)其實極具技術門檻。

　　但這也并不意味這一安全問題構不成威脅，RealAI 團隊表示，「雖然開發(fā)出核心算法難度很大，但如果被黑客惡意開源的話，上手難度就大大降低了，剩下的工作就只是找張照片?！寡酝庵饩褪?，只要能拿到被攻擊對象的 1 張照片，大部分人都能很快制作出犯罪工具實現(xiàn)破解。

　　對抗樣本攻擊，從實驗室走進現(xiàn)實

　　對抗樣本攻擊的概念其實并不新穎，2013 年，Google 研究員 Szegedy 等人發(fā)現(xiàn)機器學習容易遭受欺騙，通過故意在數(shù)據(jù)源上添加細微擾動，就可以讓機器學習模型作出錯誤輸出，對抗樣本攻擊也被視為 AI 安全領域的一大隱憂。

　　在某些神經(jīng)網(wǎng)絡中，這張圖像被認為是熊貓的置信度是 57.7%，且其被分類為熊貓類別的置信度是所有類別中最高的，因此網(wǎng)絡得出一個結論：圖像中有一只熊貓。但是，只需要添加少量精心構造的噪聲，可以得到一個這樣的圖像（右圖）：對于人類而言，它和左圖幾乎一模一樣，但是網(wǎng)絡卻認為其被分類為「長臂猿」的置信度高達 99.3%。

　　信息安全的本質(zhì)是攻防，AI 安全領域也是如此?？茖W家們通過不斷開展新的攻擊嘗試來試探對抗樣本攻擊的能力邊界。

　　近年來，我們看到了 AI 研究者們展示的各種攻擊方式：讓圖像識別算法將 3D 打印烏龜認作步槍，攻擊目標檢測系統(tǒng)讓人體實現(xiàn)「隱身」，破解物體識別檢測器讓自動駕駛錯誤識別停車標志…

　　但技術的發(fā)展存在一個過程，很多在實驗環(huán)境下開展的攻擊研究經(jīng)常被證明并不穩(wěn)定，難以走出實驗室，無法帶來明顯的安全隱患。

　　包括 2019 年 8 月份，來自莫斯科國立大學、華為莫斯科研究中心的研究者們曾發(fā)布，在腦門上貼一張對抗樣本圖案，能讓公開的 Face ID 系統(tǒng)識別出錯，這雖然被視為 AI 算法首次在現(xiàn)實世界中實現(xiàn)攻擊，但攻擊對象仍是公開版的識別系統(tǒng)，其安全性、復雜性與真正商用系統(tǒng)仍有很大差距。

　　RealAI 團隊本次實現(xiàn)的攻擊卻真正打破了「難以復現(xiàn)」的情況，一方面證實了對抗樣本攻擊的切實威脅，一方面也印證了人臉識別這項數(shù)千萬人都在使用的應用技術正面臨全新的安全挑戰(zhàn)。

　　近年來，關于人臉識別的爭議一直存在，此前也陸續(xù)曝光過「一張打印照片就能代替真人刷臉」、「利用視頻欺騙人臉身份認證」、「打印 3D 模破解手機人臉解鎖」等等安全事件。

　　不過，RealAI 算法人員表示，目前市面上常見的攻擊手段以「假體攻擊」為主，比如照片、動態(tài)視頻、3D 頭?；蛎婢?，識別終端采集的仍然是機主本人的圖像素材，主要難點在于攻破動態(tài)檢測，不過這類攻擊目前已經(jīng)很容易被防范——2014 年防假體標準推出，讓業(yè)界主流算都搭載了活體檢測能力。

　　隨后業(yè)內(nèi)又出現(xiàn)了網(wǎng)絡攻擊方法，通過劫持攝像頭來繞過活體檢測。但對抗樣本攻擊完全不受活體檢測限制，是針對識別算法模型的攻擊，終端采集到的是攻擊者的圖像，通過活體檢測后，因為添加了局部擾動，識別算法發(fā)生了錯誤識別。

　　「對于人臉識別應用來說，這是一個此前未曾出現(xiàn)的攻擊方式，」RealAI 算法人員解釋道?！溉绻讶四樧R別比喻成一間屋子，每一個漏洞的出現(xiàn)就相當于屋子里面多個沒關嚴的窗戶，活體檢測等安全認證技術相當于一把把鎖。對于廠商來說，他們或許以為這間屋子已經(jīng)關嚴實了，但對抗樣本的出現(xiàn)無疑是另一扇窗，而此前完全沒有被發(fā)現(xiàn)，這是一個新的攻擊面?！?/p>

　　我們能防御這種攻擊嗎？

　　在人臉識別應用泛濫的今天，人臉識別與個人隱私、個人身份、個人財產(chǎn)等等因素都息息相關，這個口子一旦被撕開，連鎖反應就被打開。

　　RealAI 表示，現(xiàn)有的人臉識別技術可靠度遠遠不夠，一方面受制于技術成熟度，另一方面受至于技術提供方與應用方的不重視?！疙樌怄i手機只是第一步，其實我們通過測試發(fā)現(xiàn)，手機上的很多應用，包括政務類、金融類的應用 APP，都可以通過對抗樣本攻擊來通過認證，甚至我們能夠假冒機主在線上完成銀行開戶，下一步就是轉(zhuǎn)賬?！?/p>

　　未來是否會有專門的產(chǎn)品與技術來應對對抗樣本攻擊？RealAI 的回復是，這是一定的。而且他們目前已開發(fā)了相應的防御算法能夠協(xié)助手機廠商進行升級。

　　「所有的攻擊研究，最終的目標還都是為了找出漏洞，然后再去針對性地打補丁、做防御?！?/p>

　　在這一方面，RealAI 去年推出了人工智能安全平臺 RealSafe。他們將這款產(chǎn)品定義為 AI 系統(tǒng)的殺毒軟件與防火墻系統(tǒng)，主要就是針對人臉識別等應用級 AI 系統(tǒng)做防御升級，幫助抵御對抗樣本攻擊等安全風險。

　　對于人臉識別技術的提供方，基于這一平臺，可以低成本快速實現(xiàn)安全迭代；對于人臉識別技術的應用方，可以通過這一平臺對已經(jīng)落地的系統(tǒng)應用進行安全升級，也可以在未來的產(chǎn)品采購，加強對人臉識別技術、相關信息系統(tǒng)和終端設備的安全性檢測。

　　但人臉識別技術引發(fā)的擔憂遠不止于此，除了技術側(cè)的解決方案之外， 最終填補漏洞還需要依賴社會對于人工智能安全問題的意識提升。