“簡(jiǎn)單”的對(duì)抗攻擊

近年來，以深度學(xué)習(xí)為核心的人工智能技術(shù)發(fā)展迅速，視覺識(shí)別技術(shù)最為大眾所熟知，應(yīng)用也最為廣泛。無論是互聯(lián)網(wǎng)大公司、傳統(tǒng)安防公司以及新興的人工智能技術(shù)公司都在這一領(lǐng)域大舉投入。

而其中的人臉識(shí)別技術(shù)在智能手機(jī)上更已經(jīng)是標(biāo)配，今天的我們刷臉解鎖、刷臉支付就像吃飯喝水一樣自然。雖然手機(jī)廠商往往會(huì)在發(fā)布手機(jī)的時(shí)候宣稱「破解人臉識(shí)別的幾率低至百萬分之一」，但雙胞胎解鎖對(duì)方手機(jī)的事情仍然偶爾會(huì)上新聞。

來自清華的 RealAI（瑞萊智慧）向我們展示了一項(xiàng)更為簡(jiǎn)單的攻擊技術(shù)。在一副眼鏡的攻擊下，19款國產(chǎn)智能手機(jī)，不管是低端機(jī)，還是售價(jià)4000以上的高端手機(jī)，全都是秒級(jí)解鎖。

測(cè)試者只需佩戴一副含有對(duì)抗樣本圖案的眼鏡就可以，而制作這副眼鏡的成本就是借用一臺(tái)打印機(jī)和一張A4紙。

最終，除了一臺(tái) iPhone11，其余安卓機(jī)型全部解鎖成功，完成整個(gè)破解過程只花了15分鐘。攻擊測(cè)試人員成功解鎖手機(jī)后，任意翻閱機(jī)主的微信、信息、照片等個(gè)人隱私信息，甚至還可以通過手機(jī)銀行等個(gè)人應(yīng)用APP的線上身份認(rèn)證完成開戶。

為了進(jìn)一步驗(yàn)證，隨后清華大學(xué)的研究機(jī)構(gòu)又重新測(cè)試，將不同的人、不同的國產(chǎn)手機(jī)、不同的主人，都重新做了測(cè)試。幾乎所有的測(cè)試，國產(chǎn)手機(jī)都是破解無壓力！包括手機(jī)里的圖片、視頻、APP應(yīng)用、甚至手機(jī)銀行，全都能自由使用！

其實(shí)，對(duì)抗攻擊技術(shù)算不上新穎。2023年8月份，AI算法就在現(xiàn)實(shí)世界中首次實(shí)現(xiàn)攻擊。來自莫斯科國立大學(xué)、華為研究者們?cè)l(fā)布，在腦門上貼一張對(duì)抗樣本圖案，能讓公開的 Face ID系統(tǒng)識(shí)別出錯(cuò)。

去年7月，微軟曠視開發(fā)了一套算法，只在照片上做了小改動(dòng)，就有如穿上“隱身衣”，導(dǎo)致人臉識(shí)別系統(tǒng)無法破解。但這些攻擊，僅僅只是讓識(shí)別系統(tǒng)識(shí)別不出目標(biāo)，并沒有完成破解。

如今，RealAI團(tuán)隊(duì)真正實(shí)現(xiàn)了破解過程，且整個(gè)操作時(shí)長(zhǎng)不到15分鐘，這證實(shí)了對(duì)抗樣本攻擊在現(xiàn)實(shí)生活中能夠帶來安全威脅。這一漏洞涉及所有搭載人臉識(shí)別功能的應(yīng)用和設(shè)備，一旦被黑客利用，隱私安全與財(cái)產(chǎn)安全都將受到威脅。

被“濫用”的人臉識(shí)別

人臉識(shí)別，最初在機(jī)場(chǎng)、高鐵站以及酒店等場(chǎng)景使用這項(xiàng)技術(shù)對(duì)個(gè)人身份進(jìn)行驗(yàn)證，隨后商業(yè)銀行也開始采用人臉識(shí)別實(shí)現(xiàn)遠(yuǎn)程開戶。再之后，刷臉支付、刷臉門禁也相繼出現(xiàn)，人臉識(shí)別逐漸從少數(shù)有限場(chǎng)景滲透到人們的日常生活之中。而今年以來新冠疫情，使得人臉識(shí)別的應(yīng)用加速發(fā)展起來。

不可否認(rèn)，人臉識(shí)別系統(tǒng)，在某一些方面確實(shí)很便利，如今人們大概已經(jīng)對(duì)商場(chǎng)、辦公樓等場(chǎng)所入口處的測(cè)溫設(shè)備更是習(xí)以為常。這類設(shè)備融合了人臉檢測(cè)與紅外測(cè)溫技術(shù)，能夠?qū)崿F(xiàn)“非接觸式測(cè)溫”，在疫情防控中被廣泛鋪開。

而人臉識(shí)別帶來便利的同時(shí)，隨之而來的是它的“濫用”。睜眼的也采集，閉眼的瞬間也采集。個(gè)人信息安全層面和人臉識(shí)別技術(shù)在某些場(chǎng)景的應(yīng)用侵犯?jìng)€(gè)人隱私的情況都值得大家警惕起來。

比如，在沒有任何告知的情況下，直接就“人臉識(shí)別”掌握我們的隱私信息時(shí)。甚至，就連路邊一個(gè)小小的火鍋店、餐廳也能隨便安裝幾十個(gè)、上百個(gè)攝像頭，正大光明地拍照、記錄人們的信息。

一項(xiàng)萬人參與的調(diào)查顯示，有超過六成以上的受訪者認(rèn)為人臉識(shí)別技術(shù)存在濫用趨勢(shì)。其中，在交通安檢、實(shí)名登記、開戶銷戶、支付轉(zhuǎn)賬和門禁考勤等場(chǎng)景中存在突出的“強(qiáng)制使用”問題。甚至你戴口罩也沒用，現(xiàn)在的人臉識(shí)別技術(shù)已經(jīng)先進(jìn)到即使你戴著口罩，也能輕易識(shí)別的夸張地步。

如果，隨便來一個(gè)人都能使用人臉識(shí)別，對(duì)你隨便攝像。那我們這些路人在人臉識(shí)別的控制之下，人人都成為了“皇帝的新衣”。然而可怕的是，誰掌握了你的臉，誰就掌握了你的身份標(biāo)識(shí)。

現(xiàn)在很多場(chǎng)合過分強(qiáng)調(diào)這項(xiàng)技術(shù)的便利性，卻對(duì)人臉數(shù)據(jù)泄露可能產(chǎn)生的后果考慮不足。比如人臉原始信息是否會(huì)被收集方保留以及會(huì)被如何處理？還有數(shù)據(jù)收集方采取何種技術(shù)和管理措施來保證收集的人臉信息安全，以及人臉信息目前被應(yīng)用在什么場(chǎng)景，是否變更了使用目的等問題，目前也都沒有相關(guān)的法律法規(guī)進(jìn)行規(guī)范。

雖然一些技術(shù)較為領(lǐng)先的公司會(huì)提取面部的特征值來替代原始照片，這些特征值是匿名性數(shù)據(jù)，經(jīng)過加密處理后即使被泄露也無法重新定位至某個(gè)具體的人。采用這種方式雖然能夠在一定程度上對(duì)個(gè)人信息進(jìn)行保護(hù)。但現(xiàn)實(shí)情況是，當(dāng)大公司們將深度學(xué)習(xí)算法框架開源之后，人臉識(shí)別技術(shù)的門檻已經(jīng)大大降低。很多技術(shù)實(shí)力一般的公司通過開源平臺(tái)擁有了算法能力，但在數(shù)據(jù)的收集和存儲(chǔ)環(huán)節(jié)卻無法保證同樣的安全性。這些公司的做法往往是直接收集和存儲(chǔ)原始的面部信息。

期望更安全、更可靠

有人問你要銀行卡密碼，你肯定特別警惕。但如果要人臉信息，好像很多人就覺得沒什么，但實(shí)際這兩者在很多情況下是一樣的。人臉識(shí)別與個(gè)人隱私、個(gè)人身份、個(gè)人財(cái)產(chǎn)等等因素都息息相關(guān)，這個(gè)口子一旦被撕開，就可能會(huì)失控，這是大家都不想看到的。

在人臉識(shí)別技術(shù)的可靠程度方面，信息安全的本質(zhì)是攻防，AI安全領(lǐng)域也是如此。科學(xué)家們通過不斷開展新的攻擊嘗試來試探對(duì)抗樣本攻擊的能力邊界。但人臉識(shí)別技術(shù)引發(fā)的擔(dān)憂遠(yuǎn)不止于此，除了技術(shù)側(cè)的解決方案之外，最終填補(bǔ)漏洞還需要依賴社會(huì)對(duì)于人工智能安全問題的意識(shí)提升。

人臉識(shí)別在國內(nèi)快速且廣泛的應(yīng)用，背后既有政府部門對(duì)于維護(hù)公共安全的訴求，也有商業(yè)機(jī)構(gòu)應(yīng)用新技術(shù)提效降本的需求，更有人工智能技術(shù)公司尋求業(yè)務(wù)增長(zhǎng)的沖動(dòng)。我國目前雖然沒有出臺(tái)專門針對(duì)人臉識(shí)別技術(shù)的法律規(guī)范，但《民法典》已規(guī)定，采集個(gè)人信息，必須符合必要性、合法性、正當(dāng)性三原則，同時(shí)要征得信息主體的明確同意。

關(guān)于“人臉識(shí)別”的未來，我們期望可以看到有更具體明確的法律法規(guī)來進(jìn)行規(guī)范。期望官方嚴(yán)格把控人臉識(shí)別設(shè)備生產(chǎn)、使用門檻等條件。在人臉識(shí)別遍地開花的社會(huì)，我們至少應(yīng)該擁有選擇的權(quán)利，去選擇使用或者不使用，去選擇如何使用。

也期望有更可靠安全的識(shí)別技術(shù)被大家所熟知和應(yīng)用，畢竟我們一直在用智慧和進(jìn)步證明著科技改變生活這句話，不是嗎？

人工智能是柄雙刃劍，只有合理利用，趨利避害，才能更好地促進(jìn)行業(yè)發(fā)展。專注于人工智能領(lǐng)域的鈦靈AI算法市場(chǎng)已于2023年5月18日上線，至今已經(jīng)有超過58家AI算法企業(yè)合作入駐，累計(jì)提供算法種類超過1000種，讓千行百業(yè)的客戶可以快速、放心、安心得獲得和使用各種智能算法。