RealAI来源

人脸识别安全面临三重挑战

本文介绍人脸识别安全面临的三重挑战。

疫情期间,口罩成为人手必备用品,即便在高铁、飞机上也得时刻戴着。不过这也带来了一些困扰,戴着口罩导致无法“刷脸”解锁手机,车站闸机口如果采用的是“人脸识别”通道,则需要需要摘下口罩才能完成,一定程度上加大了感染的风险。

此前,国外一位产品设计师 Danielle Baskin 发布了一款带有面部信息的口罩,带着口罩也能用 Face ID 解锁手机。简言之就是,通过提取用户被口罩遮挡部分的面部信息,然后印制到口罩外侧,戴上后拼凑成完整的脸部。

虽然,Danielle Baskin 也在 Twitter 上坦称,认证成功率目前还在测试当中。但消息发布后,不少人对人脸识别的安全性再次产生了怀疑,如果他人戴着印有自己面部信息的口罩去解锁手机,能否解锁?

人脸识别作为人工智能领域的一大热门方向,适用范围逐年越来越广。无接触式的人脸识别方式极大地方便了人们的生活,只需要有摄像头,便可以在几秒甚至零点几秒内完成出入、支付等身份认证。

但是,人脸识别的安全性究竟如何呢?

那些被偷走的人脸数据

人脸识别在人们日常生活中的应用,最早是作为一种更加便捷高效的认证方式替代指纹认证。相较于指纹,人脸识别的无感解锁、无感支付使用户体验更加顺畅,由此获得了前所未有的关注。

但值得警惕的是,当我们授权某个人脸解锁场景时,往往可能将我们的面部信息与姓名、手机号、身份信息甚至家庭住址做了绑定。这就意味着,一旦我们的人脸信息被泄露,我们其他的绑定信息也可能随之被盗用

1 月 18 日,据《纽约时报》报道,美国一家 AI 面部识别创业公司 Clearview 设计了一款人脸识别应用程序 Clearview AI,通过拍摄陌生人的照片,然后将其上传,就可以轻松查看该人的公开照片,以及指向这些照片出现位置的链接和具体内容。

这项“照片搜人”的应用其实早已不是新鲜事,早在2016年,俄罗斯初创公司FindFace就支持通过照片和Vkontakte(类似于Facebook的俄罗斯社交网络)的个人资料照片进行匹配,仅凭一个人的照片,就能找到陌生人在社交软件上的账号。

虽然这个应用宣称可以帮助“和陌生人建立友谊”。但是问题在于,通过人脸识别系统的每一张人脸特征都被收录进系统后台的人脸信息库,这是一个庞大的信息库

如果FindFace不合理使用这些拥有不同维度人脸信息库里的数据,比如学校档案、企业客户列表、大楼进出人员信息、商场顾客行踪等等,将有可能引发恶意骚扰、人肉等威胁事件人脸识别技术对我们隐私的侵犯或许让人无法想象。

而且,在如今“信息即财富”的时代,庞大的人脸信息库早已成为不法分子盯上的一块大蛋糕。上文提到的人脸识别初创公司Clearview AI近日被曝出遭到黑客攻击,其合作的600多家执法机构和银行信息全部被窃取。

类似事件在国内也早有发生,2019年2月,GDI基金会的荷兰安全研究员曝光国内某人脸识别公司发生大规模数据泄露事件,超过250万人的数据被获取,680万条记录泄露,其中包括身份证信息、人脸识别图像及捕捉地点等敏感信息。

可以猜想,如此规模的信息被泄漏,不法分子可以轻而易举实施大规模监控、定点犯罪。而作为当事人的我们,却浑然不知。

图像“补丁”轻易攻破识别算法

我们知道在人脸识别应用场景中,人脸图像扮演着“密码”这一角色,密码可以“破解”,人脸也不例外

伴随着人脸识别技术广泛应用于刷脸认证、刷脸支付等场景,各种破解人脸识别系统的新闻不断涌现。

iPhone X搭载的3D结构光活体检测被称为当前安全系数最高的人脸识别检测技术,但2017年,一家越南公司通过 3D 打印面具成功骗过了苹果的Face ID,实现了解锁。

由于成本原因,目前市面上使用的人脸识别系统大多并非3D结构光活体检测,而是2D静态检测或者加上动作验证,所以我们经常能够看到诸如丰巢“刷脸取件”被小学生用打印的照片破解、智能防盗门被合成视频破解等新闻。

从成本方面考量,3D打印面具的破解方式较复杂、成本过高;从破解率来看,“照片骗局”无法通过活体检测。

近年来机器学习领域兴起另一种热门方法——对抗样本,通过添加肉眼察觉不到的噪音欺骗神经网络,让识别系统出错,是一种诱导识别算法的图像“补丁”。

2019年,华为莫斯科研究中心的研究者们用打印机打出一张带有图案的纸条贴在额头上,就让某些公开的 Face ID 系统识别出错。

在此之前,RealAI安全研究团队也同时实现了基于对抗样本技术破解人脸解锁的案例。不同于华为团队破解公开系统,RealAI团队在商用手机上成功实现破解,攻击难度更上一个台阶,是世界范围内首个在现实世界中实现黑盒攻击的团队

如果说手机人脸解锁被破解仅仅可能是侵害隐私或者损失金钱,那自动驾驶识别系统如果被攻击,付出的代价可能是生命。

来自全球最大的安全公司之一McAfee的两位研究人员,在35英里/小时的速度标志,贴了一条2英寸的黑色胶带,略微拉长了数字“3”的中间,直接误导特斯拉的自动驾驶系统从35英里/小时加速到了85英里/小时。

腾讯科恩实验室也曾于2019年4月发布研究报告,研究人员在路面上粘贴三张贴纸来模仿合并条带,使特斯拉自动驾驶汽车拐进逆行车道。

对抗样本」方法的实现成本仅仅是打印一张纸,但却能让识别系统发生灾难性的错误。一旦相关技术像Deepfake一样被大规模滥用,罪恶因子可能就此被埋下。

非刚需的人脸识别应用泛滥

广阔的市场前景让人脸识别行业受到资本追捧的同时,也引来了众多科技企业的争相探索。为了扩大并快速抢占市场份额,不少企业“开荒辟土”,为人脸识别的落地开拓出众多全新场景。

但就如专家表示,现在的人脸识别技术并没有很完美,一些人脸识别的应用效果未及预期,这就导致人脸识别在一些非刚需场景上的应用存在争议。“应用为先,安全第二”的落地标准更是让安全风险暴露无遗。

比如人脸识别在“智慧校园”的应用。目前国内多所高校陆续在校门设置人脸识别闸机,抛开设备的经常性故障、受光线影响等问题,现阶段多数人脸识别闸机为了保证快速落地应用,搭载的识别算法主要是平面的图片对比,并没有按照真人的生物特征去进行运算,安全级别低

另外还有在隐私侵犯边缘试探的应用,比如高校教室里安装人脸识别系统对学生课堂听讲情况的全程监控,任何动作都都逃不过人脸识别系统的“法眼”。这不仅侵犯学生的个人隐私,背后的信息去向更为人担忧

目前很多高校信息化程度高、信息化意识也较强,拥有自己的数据中心,校内的识别系统采集到数据会存储在学校的服务器。但如果是普通的幼儿园、小学等单位,数据有可能是被存储至厂商处,最终数据会流向何处难以得知。这些单位往往只是觉得人脸识别是比较流行的一种方式,但对背后的信息安全缺乏概念。

而且从应用效果上来看,人脸识别应用最为广泛的门禁“刷脸”也略显鸡肋,识别准确率低,容易出现“认不出人”的问题。一些“智慧幼儿园”在家长接送孩子入园环节启用“刷脸”门禁系统,但这貌似并且没有给老师带来安全感,现阶段人脸识别设备可靠性低,让不少老师担心接孩子的时候出现冒领的风险。

显然,当前的人脸识别的很多应用尚处于“尝新”阶段,还不能做到非常成熟,超出需求本身的大范围应用增加了发生安全风险的概率,一定程度上加速了安全问题的显露。

虽然目前人脸识别距离安全还有一段距离,但我们不能一口否定技术发展,矫枉过正也只会限制技术发展。技术没有绝对完美的,但好在技术始终在迭代。

当然,安全问题也不完全是技术问题,也是应用问题。未来,还需要行业、企业、政府等协同努力,寻找隐私、安全、便利之间的平衡,明确人脸识别的边界,真正地为人脸识别应用发展出“安全感”。

THU数据派
THU数据派

THU数据派"基于清华,放眼世界",以扎实的理工功底闯荡“数据江湖”。发布全球大数据资讯,定期组织线下活动,分享前沿产业动态。了解清华大数据,敬请关注姐妹号“数据派THU”。

产业人脸识别
相关数据
华为机构

华为创立于1987年,是全球领先的ICT(信息与通信)基础设施和智能终端提供商,致力于把数字世界带入每个人、每个家庭、每个组织,构建万物互联的智能世界。目前华为有19.4万员工,业务遍及170多个国家和地区,服务30多亿人口。

https://www.huawei.com/cn/
机器学习技术

机器学习是人工智能的一个分支,是一门多领域交叉学科,涉及概率论、统计学、逼近论、凸分析、计算复杂性理论等多门学科。机器学习理论主要是设计和分析一些让计算机可以自动“学习”的算法。因为学习算法中涉及了大量的统计学理论,机器学习与推断统计学联系尤为密切,也被称为统计学习理论。算法设计方面,机器学习理论关注可以实现的,行之有效的学习算法。

人工智能技术

在学术研究领域,人工智能通常指能够感知周围环境并采取行动以实现最优的可能结果的智能体(intelligent agent)

人脸识别技术

广义的人脸识别实际包括构建人脸识别系统的一系列相关技术,包括人脸图像采集、人脸定位、人脸识别预处理、身份确认以及身份查找等;而狭义的人脸识别特指通过人脸进行身份确认或者身份查找的技术或系统。 人脸识别是一项热门的计算机技术研究领域,它属于生物特征识别技术,是对生物体(一般特指人)本身的生物特征来区分生物体个体。

自动驾驶汽车技术

自动驾驶汽车,又称为无人驾驶汽车、电脑驾驶汽车或轮式移动机器人,是自动化载具的一种,具有传统汽车的运输能力。作为自动化载具,自动驾驶汽车不需要人为操作即能感测其环境及导航。

神经网络技术

(人工)神经网络是一种起源于 20 世纪 50 年代的监督式机器学习模型,那时候研究者构想了「感知器(perceptron)」的想法。这一领域的研究者通常被称为「联结主义者(Connectionist)」,因为这种模型模拟了人脑的功能。神经网络模型通常是通过反向传播算法应用梯度下降训练的。目前神经网络有两大主要类型,它们都是前馈神经网络:卷积神经网络(CNN)和循环神经网络(RNN),其中 RNN 又包含长短期记忆(LSTM)、门控循环单元(GRU)等等。深度学习是一种主要应用于神经网络帮助其取得更好结果的技术。尽管神经网络主要用于监督学习,但也有一些为无监督学习设计的变体,比如自动编码器和生成对抗网络(GAN)。

准确率技术

分类模型的正确预测所占的比例。在多类别分类中,准确率的定义为:正确的预测数/样本总数。 在二元分类中,准确率的定义为:(真正例数+真负例数)/样本总数

噪音技术

噪音是一个随机误差或观测变量的方差。在拟合数据的过程中,我们常见的公式$y=f(x)+\epsilon$中$\epsilon$即为噪音。 数据通常包含噪音,错误,例外或不确定性,或者不完整。 错误和噪音可能会混淆数据挖掘过程,从而导致错误模式的衍生。去除噪音是数据挖掘(data mining)或知识发现(Knowledge Discovery in Database,KDD)的一个重要步骤。

对抗样本技术

对抗样本是一类被设计来混淆机器学习器的样本,它们看上去与真实样本的几乎相同(无法用肉眼分辨),但其中噪声的加入却会导致机器学习模型做出错误的分类判断。

腾讯机构

腾讯科技股份有限公司(港交所:700)是中国规模最大的互联网公司,1998年11月由马化腾、张志东、陈一丹、许晨晔、曾李青5位创始人共同创立,总部位于深圳南山区腾讯大厦。腾讯由即时通讯软件起家,业务拓展至社交、娱乐、金融、资讯、工具和平台等不同领域。目前,腾讯拥有中国国内使用人数最多的社交软件腾讯QQ和微信,以及中国国内最大的网络游戏社区腾讯游戏。在电子书领域 ,旗下有阅文集团,运营有QQ读书和微信读书。

http://www.tencent.com/
结构光技术

结构光是将已知图案(通常是栅格或水平条)投射到场景上的过程。这些物体在撞击表面时变形的信息来在视觉系统中计算场景中物体的深度和表面信息,如在结构光3D扫描器中使用的。 结构光是一组由投影仪和摄像头组成的系统结构。用投影仪投射特定的光信息到物体表面后及背景后,由摄像头采集。根据物体造成的光信号的变化来计算物体的位置和深度等信息,进而复原整个三维空间。

推荐文章
暂无评论
暂无评论~