雷锋网【AI科技评论】按:昨晚的央视315晚会上,人脸识别技术被曝存在安全隐患。不少观众看到主持人在现场技术人员支持下,仅凭两部手机、一张随机正面照片及一个换脸APP,分别就一张”眨眨眼”的照片和一段”活体检测”场景模拟,成功“攻破”人脸识别系统。
一般业内人士看到的是主持人手里所持人脸识别App的技术漏洞;但对于普通观众来说,他们看到的是一个不甚熟悉的高科技技术应用背后的“巨大风险”——人脸识别怎么会被破解?为什么一个换脸App软件就能轻松换脸?它会不会分分钟“掏空”我的账户……经由央视这个2C平台一放大,即使只是出于提醒消费者的出发点,以百度,旷视,云从,商汤为首的这些被影响的企业,从昨晚开始,就开始纷纷对此做出回应。
节目结束仅仅5分钟,百度深度学习实验室主任林元庆便被邀请在百度科技园的人脸识别闸机做一次亲身验证,看百度人脸识别系统究竟能否被一段视频“骗过”。以下是视频回放:
从视频中,我们可以看到,检测结果是:林元庆首先对手机录制了一段包括眨眼、转头等动作的真人视频,然后手持手机,将该视频在人脸识别闸机的摄像头前播放,以模拟晚会的场景后,百度人脸闸机显示“禁止通过”。
Face++相关人员一早就在跟AI科技评论讨论这个事,后面他们也以视频的形式,来“介绍”了央视现场的攻击原理与防攻击要点:
从攻击内容上,主持人将自己的脸换成现场一名观众微博照片里的脸,这是一个基于软件合成的换脸攻击,又可叫虚拟人脸攻击,这种攻击不可避免的会留下图像修改痕迹。Face++ 通过机器学习算法提取被修改后图像特有局部与全局视觉特征,并对潜在的攻击模式进行在线归档与分类,从而实现对这类攻击的防御。
2. 从攻击介质上, 主持人将自己的手机对准大屏这是一个屏幕翻拍攻击。而屏幕翻拍在底层视觉特征、环境图像特征等方面均与真人实拍有显著差异。对此,旷视专门研发了基于屏幕翻拍综合检查的防范技术,实现对此类攻击的隔离。
紧接着旷视的防攻击小组也第一时间复现了场景,让两位工作人员通过换脸工具进行攻击:
相对于百度和Face++的视频回击,云从科技用的简单的文字形式,在他们的微信上他们重点阐述到:
做过安全的人都知道,绝对的安全等于无限的成本。AES加密也能被很快破解,但商用256位足够了,花费破解的成本比破解后的利益还大。
首先,人脸识别在金融身份核验的用途上,通常是作为交叉验证增强安全性,只会比以往单用密码更安全,并且还存在其他验证手段与人脸识别形成多重验证。其次,从face2face的技术原理来讲,需要收集很多的被模仿人的人脸数据,再加上比较先进的人脸识别技术支撑,才可以模仿该人脸。
从防范攻击上来讲,被模拟的视频需要通过非常高的技术手段才能够传输到应用软件里面去,有这种技术力量,任何系统都存在风险;而直接通过视频或者图片攻击,完全可以被现在的红外或者一些动作判断的活体手段所识别出来。
商汤-从“犯罪”线索角度进行回应
商汤科技没有拍视频,也没有撰写新的声明,不过他们扒出来之前一篇技术背后秘密的核心阐述,重点从“犯罪”线索角度进行了回击。
跟您聊聊技术后面的秘密:传统的人脸防伪方法一般通过用户的动作,例如:眨眼、张嘴、点头、摇头、微笑、眼动等,作为防伪线索,即我们常说的活体检测。这种方法会有一个漏洞,就是难以防住真人视频或者合成的视频(例如3D模型或者换脸算法)。
而当(比)前(如)优(商)秀(汤)的人脸防伪(活体检测)会采用全新的方法,它与传统方法的最大不同点就在于更加关注伪造内容本身的介质属性,以及合成的视频/图像与自然视频/图像的差异。
由于真人视频或者合成的视频,必然需要通过屏幕进行显示,然后使用采集端进行翻拍。虽然视频本身可能做到看起来非常真实,但是翻拍的过程中,必然会暴露出“犯罪”线索,例如:显示器边缘,屏幕反光,摩尔纹,像素点纹理,镜头畸变等。有些线索可能会很细微,以至人眼常常难以察觉,而计算机可以察觉在hack过程中这些的细微的线索。
整个315晚会人脸识别隐患事件,经过一天的发酵后,业内人士其实都开始冷静和客观下来了。比如,
山世光博士在今天表示:
这肯定会是一场旷日持久的攻防博弈游戏。
第四范式的戴文渊则表示:
在这个场景里,人脸识别本质上是一种反欺诈技术,无论做多少改进,欺诈团伙一定不会束手就擒,会开发更多欺诈手段。欺诈与反欺诈永远都是博弈的过程,反欺诈技术也不应该局限于人脸识别。更完美的解决方案是闭环的强化学习反欺诈方案。
云从的周曦在之前AI科技评论所做的公开课里,被问到”云从最近在双创周展示了“1秒刷脸支付”,但近日也爆出最新木马Acecard 可以刷用户照片盗取权限进行恶意操作,怎么从技术上防止这类问题?“这种人脸识别在实际应用场景的问题中。则用实际行业经验表示:
银行对于安全的要求是非常极致的。我们的方法是对人脸采集系统采集的人脸,均用云从研究的图片加密方式对人脸图片进行了隐式的水印加密处理。云从的人脸识别系统后端进行识别时,会判断人脸图片是否为云从采集并且加密的人脸图片。且这种加密方式需要的加密模板和加密参数很复杂,一般无法破解。
包括这次315晚会背后的换脸App提供者,360人工智能研究院,其院长颜水成也在事后的采访中建议:
相关技术厂商不仅要关注人脸比对的准确率,还应关注活体检测及人脸识别系统的使用场景,提高研发能力,在涉及隐私、支付等场景使用时,应当将人脸与声纹、指纹、虹膜及其他生物认证信号相融合,多个方面同时发力,从而提高安全门槛,保障用户安全。
从技术的角度上,人脸识别同以往任何一个服务于安全领域的技术一样,有其门槛和局限性;但从实际应用的角度上,各个厂商在和客户深入合作的过程中,一般会比观众更早遇到晚会里大家担心的问题。就算他们自己不自觉,他们的客户也会提醒他们潜藏在暗处的欺诈团队们的各种手段和隐忧,务必要求技术提供方在保证一定用户体验的同时,尽量将人脸与声纹、指纹、虹膜及其他生物认证信号相融合来提高安全门槛。
套用云从科技比较老练的说法:
“做过安全的人都知道,绝对的安全等于无限的成本。AES加密也能被很快破解,但商用的256位足够了,花费破解的成本比破解后的利益还大。……我们要正面看待此次315事件,舆论上的热点让主要面向B端的人脸识别厂家有机会做一次科普:攻击和被攻击本来就是一个矛和盾的过程,一直在相互博弈,使技术往更好的方向去发展。”
人脸识别的安全跟安全行业以往任何一个领域的性质一样,这是一场持久的攻坚战。就像大家非常熟悉的银行卡安全问题,5年前我们都用着招商银行普通的磁条卡,今天基本上都被换成了芯片卡,最近又加了一个人脸识别,如果单说安全加密手段,银行方面的升级就从来没有停止过,因为其本身从来都没有”绝对安全”这一说法。
文章由雷锋网【AI科技评论】独家整理,未经雷锋网雷锋网【AI科技评论】授权,拒绝转载。