測試人員在破解手機人臉識別系統(tǒng)
一臺打印機、一張A4紙、一副眼鏡框。不到15分鐘,19部不同型號手機上的人臉識別系統(tǒng)全部被破解,平均每部手機的破解時間不到1分鐘。唯一沒被破解的,是一部搭載了3D人臉識別系統(tǒng)的。順利解鎖手機還只是第一步,如果想進一步操作,“破解者”還可以假冒機主在線上完成銀行開戶,甚至是轉(zhuǎn)賬。好在,這只是一個研究項目,而非現(xiàn)實生活中的實際應(yīng)用。2月初,來自清華大學(xué)人工智能研究院的AI團隊瑞萊智慧公司公布了手機人臉解鎖的一項重大漏洞——通過AI算法生成特殊花紋,定制成“眼鏡”戴上后就可以讓手機的面部解鎖系統(tǒng)失靈。不僅如此,團隊還用同樣的方法破解了一些政務(wù)類和金融類APP的人臉識別系統(tǒng)。該研究項目負(fù)責(zé)人之一、瑞萊智慧高級產(chǎn)品經(jīng)理張旭東在接受深一度記者采訪時表示,上述攻擊測試實際上利用了“對抗樣本攻擊”的算法漏洞,“這一漏洞可能涉及所有搭載人臉識別功能的應(yīng)用和設(shè)備,一旦被黑客利用,使用人的隱私安全和財產(chǎn)安全都將受到威脅。”測試結(jié)果公布后,再次引發(fā)公眾對人臉識別技術(shù)的疑慮,如此輕松就被破解成功,人臉識別安全嗎?你還敢在外面“錄臉”嗎?
測試員在演示如何破解手機人臉識別系統(tǒng)
“對抗眼鏡”
瑞萊智慧公布的整個測試過程,只用到了三樣?xùn)|西:一臺打印機、一張A4紙、一副眼鏡框。他們首先將20部手機統(tǒng)一錄入一名測試人員的人臉驗證信息,之后,攻擊測試人員戴上制作好的“眼鏡”依次去解鎖,最終,除 外,其余19部手機全部“秒解鎖”。“我們以為會需要多調(diào)優(yōu)幾次,沒想到這么容易就成功了。”張旭東說,這一結(jié)果“順利”得讓團隊感到意外。測試過程中使用的眼鏡被稱為“對抗眼鏡”,它的制作過程并不復(fù)雜——要解鎖某個人的手機,僅需要用到對方的一張照片和自己的一張照片,然后輸入到提前開發(fā)好的攻擊算法中,算法會基于兩個人的照片自動生成一個最優(yōu)圖案,即所謂的“干擾補丁”,然后再把“干擾補丁”覆蓋到對方的照片上,打印出來,貼在鏡框上,“對抗眼鏡”就制作好了。測試人員戴上這幅眼鏡就能實現(xiàn)對使用人臉識別系統(tǒng)的手機以及APP的破解,“這就是所謂的‘對抗樣本’。”張旭東說,“對抗樣本”是算法自動計算出的最佳圖案,制作成為眼鏡后,就能夠使算法識別錯誤,將不同的兩個人識別成為同一個人。為了騙過算法的“活體檢測”,測試人員還在照片的兩只眼睛處剪開了棱形的小洞,“有些APP在登錄或者使用某些功能的時候,會讓做眨眼、張嘴等動作,照片遮擋了眼部,這種方式能保證被算法識別成‘活體’,從而被錯誤地識別。”事實上,活體的動態(tài)識別也正是攻擊的難點所在。張旭東表示,目前市面上常見的攻擊手段以“假體攻擊”為主,比如照片、動態(tài)視頻、3D頭模或面具,識別終端采集的仍然是機主本人的圖像素材。要想攻破動態(tài)檢測相對較為困難,“自從2014年防假體標(biāo)準(zhǔn)推出,業(yè)界主流算法都搭載了活體檢測能力。但本質(zhì)上,這還是可以通過‘劫持’攝像頭來繞過活體檢測。”張旭東解釋,正常情況下,識別系統(tǒng)讀取的是攝像頭采集的數(shù)據(jù),而“劫持”攝像頭之后,就可以對采集的數(shù)據(jù)進行改動,“想讓(攝像頭)讀什么,它就讀什么。”“順利解鎖手機只是第一步,其實我們通過測試發(fā)現(xiàn),手機上的很多應(yīng)用,包括政務(wù)類、金融類的APP,都可以通過‘對抗樣本’攻擊來通過認(rèn)證,甚至我們能夠假冒機主在線上完成銀行開戶,下一步就是轉(zhuǎn)賬。”張旭東說。
使人臉識別系統(tǒng)算法出錯的“對抗眼鏡”
漏洞與風(fēng)險
2015年,是國內(nèi)人臉識別開始被廣泛應(yīng)用的一年。當(dāng)年,中科院重慶分院人臉識別團隊率先與呼和浩特鐵路局合作,將人臉識別技術(shù)運用于鐵路安防系統(tǒng)。同年5月,微眾銀行、浙江網(wǎng)商銀行均表示將利用“遠(yuǎn)程人臉識別+身份證件核實”的模式為金融客戶開立賬戶。12月25日,央行發(fā)布《關(guān)于改進個人銀行賬戶服務(wù)加強賬戶管理的通知》,將生物特征識別技術(shù)作為核驗身份的輔助手段,人臉識別應(yīng)用再提速。這也讓張旭東及其團隊意識到,如果日后普及人臉識別,就必須要解決其安全性問題。他們的相關(guān)研究也因此開始,“人臉識別可能是公眾日常生活中接觸最多的人工智能應(yīng)用場景,我們想弄明白,商用系統(tǒng)中是否存在一定的漏洞。”幾年的試驗過程并沒那么容易。拿干擾因素來說,制作“對抗樣本”時的光線、色彩甚至打印機都可能造成不同的結(jié)果,需要一遍一遍調(diào)試,一張一張打印出來測試,“比如兩個人眼睛之間的距離,如果拉長或者縮短,就要重新去打印。”半年的時間里,張旭東和他的團隊打印了數(shù)千張僅有非常細(xì)微差別的照片,“因為每張照片都只需要眼睛和鼻子周圍那部分的圖案,所以照片必須剪裁好,粘好,戴好,才能測試出效果如何。”為了配合活體測試,張旭東不記得自己為此眨過多少次眼、張過多次嘴了,“之前的算法可能做得不太好,老是檢測不到我的臉,有時候光做張嘴的動作,做得我臉都僵硬了。
”值得注意的是,在此次測試中,未能成功解鎖的搭載的是3D人臉識別技術(shù),這也意味著,相對于2D人臉識別技術(shù)來說,3D人臉識別技術(shù)要更安全一些。“從測試的結(jié)果來看確實如此。”張旭東說,3D人臉識別方案包括“結(jié)構(gòu)光”、“飛行時間法”等技術(shù)手段。它與2D方案的區(qū)別在于,其采集的是人臉三維立體信息,這些信息可能只應(yīng)用在人臉識別的活體檢測環(huán)節(jié),也可能既用來判斷活體也用來做識別,“我們對抗眼鏡的制作比較簡單,就是在平面圖案上添加了一些干擾因素,所以對于3D來說,沒能攻擊成功。”盡管截至目前,并沒有其他公司或研究團隊能用一張“對抗樣本”的補丁紙張去解鎖市面上所有可以買到的手機,以及這些手機的服務(wù)系統(tǒng),但這并不意味這一安全問題構(gòu)不成威脅。張旭東坦承,核心算法難度雖然很大,但如果被黑客惡意開源的話,難度就會大大降低,剩下的工作就只是找一張照片。“只要能拿到被攻擊對象的照片,就能很快制作出犯罪工具并實現(xiàn)破解。”北京市政協(xié)委員、天馳君泰律師事務(wù)所律師高警兵也一直在關(guān)注著人臉識別方面的安全問題,他建議,要加強人臉識別技術(shù)研究,如通過公共網(wǎng)絡(luò)收集、傳輸、存儲的人臉信息,都應(yīng)使用加密措施,并對收集到的人臉信息進行分片段單獨儲存,不得公開披露人臉信息,“平臺在運用此技術(shù)時,也應(yīng)該從技術(shù)上進行革新,防止信息被第三方使用。”
北京一小區(qū),業(yè)主需要刷臉出入
攻與防
春節(jié)長假后的第一天,北京朝陽區(qū)一小區(qū)的業(yè)主夏向松再次接到了要求他去錄入人臉信息的通知,這已經(jīng)是小區(qū)物業(yè)關(guān)于這件事給他打的第5個電話了。物業(yè)工作人員在電話中稱,小區(qū)馬上就要啟用新的門禁系統(tǒng),不錄人臉信息進出小區(qū)會很不方便,希望他能配合一下物業(yè)的工作。夏向松再次拒絕,“我還是選擇用門禁卡進出。”在夏向松看來,錄人臉“很危險”,一旦信息泄露,那就再也沒辦法從網(wǎng)絡(luò)上消除了。特別是當(dāng)他看到,目前已經(jīng)有技術(shù)能夠輕易解鎖諸多具有人臉識別功能的手機和APP的消息時,他很慶幸,沒有在任何APP上留下過自己的人臉信息。杭州電子科技大學(xué)副教授徐偉棟在第一時間就注意到了瑞萊智慧團隊公布的消息,他認(rèn)為這是一個比較嚴(yán)重的問題,“這個領(lǐng)域最大的風(fēng)險并不來自于技術(shù)本身,而是人臉作為一個生物特征,是不能重置的,一旦被泄露人臉解鎖能設(shè)置幾個人,后果不堪設(shè)想。”瑞萊智慧的攻擊測試人員成功解鎖手機后,可以任意翻閱機主的微信、照片等個人隱私信息,甚至還可以通過機主的手機銀行等個人應(yīng)用APP的線上身份認(rèn)證完成開戶。“很容易被攻破”,這也讓張旭東發(fā)現(xiàn),一些金融APP有關(guān)人臉識別模型做得并不好。徐偉棟認(rèn)同這個觀點,他直言,并不是公司技術(shù)達不到,而是如果人臉識別的門檻設(shè)置得很高,那可能就會出現(xiàn)無法識別的情況。
“如果把人臉識別系統(tǒng)比喻成兩根軸,橫軸就是鏡頭不能把一個自然人識別成其他人,縱軸就是能在眾多的人里面把該識別的人識別出來。” 徐偉棟說,金融公司都有自己的技術(shù)指標(biāo),通常是通過率越大越好,錯誤率越小越好。徐偉棟指出,在金融公司的算法里,百分之九十九點九九的人都是使用者,而非攻擊者,如果把識別的門檻設(shè)置得過高,那可能會有幾十萬,甚至上百萬的人無法被識別,而降低門檻最直接的后果,就是假臉也被識別成真臉。張旭東則認(rèn)為,現(xiàn)有的人臉識別技術(shù)可靠度遠(yuǎn)遠(yuǎn)不夠。這一方面受制于技術(shù)成熟度,另一方面受制于技術(shù)提供方與應(yīng)用方的重視程度不夠。“照片攻擊手段的出現(xiàn)推動了活體檢測技術(shù)的誕生,未來是否會有專門的產(chǎn)品與技術(shù)來應(yīng)對‘對抗樣本’的攻擊?我認(rèn)為這是一定的。”張旭東說,所有的攻擊研究,最終的目標(biāo)都是為了找出漏洞,然后再去針對性的打補丁、做防御。不過,張旭東表示,雖然他們能從人臉識別技術(shù)提供方給出解決方案,但仍需要各方提高對人工智能安全問題的重視。目前,已經(jīng)有一些使用人臉識別系統(tǒng)的公司找到瑞萊智慧,希望能借助他們的“攻防”系統(tǒng)來提升自身APP的安全性。“大家都很擔(dān)心自己的技術(shù)是不是不安全,會邀請我們?nèi)プ龉簦绻舫晒Γ矔屛覀內(nèi)プ龇烙?/p>
”張旭東說,只有攻防不斷升級,人臉識別技術(shù)的安全性才能越來越高。據(jù)其透露,目前瑞萊智慧的客戶以第三方研究機構(gòu)和測評類單位為主,也和一些科技公司在合作,為其提供技術(shù)等支持。“3D人臉識別會更多地應(yīng)用于安全級別更高的場景,比如移動支付,我們也想知道‘對抗樣本’攻擊對這類場景會造成什么樣的后果。希望通過研究攻擊技術(shù),發(fā)現(xiàn)更多潛在的漏洞,針對性地去升級我們的防御技術(shù)。”張旭東說。
登錄手機APP查詢有關(guān)信息也需要刷臉
“真的安全嗎?”
看到朋友轉(zhuǎn)發(fā)的有關(guān)“瑞萊智慧解鎖手機和APP”的消息后,北京通州的一小區(qū)業(yè)主張家駿就開始忙著刪除自己在小區(qū)物業(yè)和一些APP上錄入的人臉信息,“本來以為使用人臉識別很方便,但現(xiàn)在看來隱患太大了。”張家駿說,物業(yè)一再承諾,業(yè)主的信息錄入后并不在物業(yè)公司保存,而是經(jīng)過“脫敏”后直接上傳有關(guān)部門,安全上是可以保證的。但張家駿還是堅持要求物業(yè)刪掉自己的人臉信息,“不確定是不是真的安全。”“支付就不說了,現(xiàn)在就連有些公共衛(wèi)生間取衛(wèi)生紙都需要人臉識別。”這讓張家駿特別困惑,真的有必要嗎?夏向松的疑問則在于,雖然目前《民法典》將生物識別列為個人信息,《個人信息保護法(草案)》也從圖像采集、個人生物信息等角度做出了相關(guān)規(guī)定,但總體而言,現(xiàn)行的法律法規(guī)對人臉識別技術(shù)并沒有具體的法律規(guī)定,那么就會出現(xiàn)一個問題,人臉信息泄露了怎么辦?責(zé)任應(yīng)該如何承擔(dān)?高警兵也注意到了現(xiàn)階段人臉識別的安全問題,他發(fā)現(xiàn),在一些日常使用場景中,采集方甚至未經(jīng)被采集者的同意就用上了人臉識別。“行業(yè)比較混亂,針對采集人臉信息的公司沒有規(guī)范管理辦法,缺乏法律來規(guī)制。”在高警兵看來,目前很多收集人臉信息的機構(gòu)并不具備相應(yīng)的風(fēng)險防控、安全保障能力、組織和機制。他認(rèn)為,僅靠居民個人隱私保護意識的提高是遠(yuǎn)遠(yuǎn)不夠的,必須嚴(yán)格把控人臉識別設(shè)備生產(chǎn)、使用的門檻,“采集時應(yīng)當(dāng)遵循必要原則,不應(yīng)過度收集,居民提供信息時,應(yīng)當(dāng)擁有選擇權(quán)和知情權(quán),還要加強對采集行為的監(jiān)管和約束。”在事前防范上,高警兵指出人臉解鎖能設(shè)置幾個人,對任何部門安裝、使用人臉識別技術(shù)應(yīng)堅持有關(guān)政府部門批準(zhǔn)同意原則。“有權(quán)機構(gòu)在批準(zhǔn)時,應(yīng)考慮使用人臉識別技術(shù)的安全性、必要性、正當(dāng)性以及使用過程的公開、透明等。”高警兵建議立法部門明確人臉識別的有權(quán)使用主體、使用目的,使用范圍和使用禁區(qū)等,“特別是要建立懲罰、賠償制度,明確被識別對象的救濟路徑。”此外,張旭東還希望未來有關(guān)部門能夠從算法安全的相關(guān)層面制定一個行業(yè)標(biāo)準(zhǔn),也希望人臉識別應(yīng)用領(lǐng)域能夠有明確的立法。而在徐偉棟看來,眼下,人臉信息不被泄露的最好的方式就是不在任何場合和APP上錄入自己的人臉信息。
(應(yīng)受訪者要求,文中夏向松、張家駿為化名)