19款手機(jī)人臉識別被攻破��!這次用魔法打敗魔法
發(fā)布時(shí)間::2021-02-01
RealAI團(tuán)隊(duì)定制了一副特殊的眼鏡����,利用這副眼鏡��,該團(tuán)隊(duì)在15分鐘內(nèi)破解了19款安卓手機(jī)的人臉識別功能��。
據(jù)了解��,RealAI團(tuán)隊(duì)選取20款手機(jī)作為攻擊對象�,然后通過AI算法繪制特殊花紋,打印下來裁剪成眼鏡的形狀���,貼在眼鏡框上��,嘗試進(jìn)行攻擊���。
結(jié)果,在15分鐘內(nèi)����,除了一款iPhone 11,成功解鎖了其余所有19部安卓機(jī)型��。
人臉識別技術(shù)再次被攻破����,但是這次攻破和之前的攻擊不太一樣。
01
AI算法對攻AI算法
2019年��,一群小學(xué)生在課外活動(dòng)中用一張等比例打印的高清照片破解了快遞柜的人臉識別����,打開了快遞柜。
類似的�,還有人使用3D打印技術(shù)打印1:1高仿真頭像破解了人臉識別技術(shù)���。這些事件在一定時(shí)間內(nèi)都引起了社會(huì)的廣泛關(guān)注。
RealAI的手段和這些破解方式有著本質(zhì)的不同����。
單純的看RealAI的攻擊工具好像只是人臉三角區(qū)域的照片,但事實(shí)上這些照片中加入了通過算法計(jì)算生成的擾動(dòng)圖案����。
這些擾動(dòng)圖案是讓人臉識別失效的真正原因,也是區(qū)別所在:雖然RealAI和小學(xué)生都是利用工具攻擊人臉識別�����,但RealAI的工具其是AI算法�����,而人臉識別的核心技術(shù)就是AI算法�����。
也就是說���,這是一次真正對等的較量:雙方都使用了獨(dú)特的AI算法進(jìn)行攻防���。
02
“擾動(dòng)”攻擊的兩面性
RealAI團(tuán)隊(duì)實(shí)現(xiàn)了人臉識別破解,且整個(gè)操作時(shí)長不到15分鐘����,證實(shí)了這種攻擊在現(xiàn)實(shí)生活中能夠帶來安全威脅。
團(tuán)隊(duì)里的一個(gè)成員所說:如果有黑客惡意開源這一算法的話���,上手難度就被大大降低了�����,剩下的工作就只是找張照片�。
言外之意就是���,只要能拿到被攻擊對象的1張照片��,就能很快制作出犯罪工具�,實(shí)現(xiàn)破解���。這種攻擊手段的成本和3D打印頭像的成本相比幾乎可以忽略不計(jì)�����,從適用范圍上來看�,19部安卓手機(jī)全部被破解可以說明其具有高度的適用性。
實(shí)現(xiàn)攻擊的難度就在于如何拿到受害人的手機(jī)����,或者干脆不拿手機(jī),只要知道手機(jī)號��,就可以找一個(gè)刷臉支付設(shè)備嘗試盜刷�����。
技術(shù)是一把雙刃劍����,對于“擾動(dòng)”攻擊來說也是。
2019年3月����,IBM被爆出使用互聯(lián)網(wǎng)上的照片作為人臉識別的“養(yǎng)料”,其中包含了Flickr上近100萬張照片�����。
現(xiàn)有的人臉識別技術(shù)是大數(shù)據(jù)和人工智能的集合,想要設(shè)備認(rèn)準(zhǔn)每個(gè)人的臉必須要有一個(gè)好的算法����。當(dāng)然了,一個(gè)好的算法不可能從天而降��,除了需要算法工程師爆肝工作之外還需要大量的數(shù)據(jù)做訓(xùn)練集�����,給算法當(dāng)“養(yǎng)料”�,“養(yǎng)料”的質(zhì)量和數(shù)量可以極大地影響一個(gè)算法的優(yōu)劣���。
“養(yǎng)料”的存在讓所有人都清楚了一件事情:我們發(fā)到網(wǎng)上的照片被用來做了什么��。
國內(nèi)則有一條完善的“照片”販賣黑色產(chǎn)業(yè)鏈����。去年10月央視調(diào)查發(fā)現(xiàn)��,在某些網(wǎng)絡(luò)平臺(tái)上��,只要花2元錢就能買到上千張人臉照片�,而5000多張人臉照片標(biāo)價(jià)還不到10元。商家的素材庫里,全都是真人生活照�����、自拍照等充滿個(gè)人隱私內(nèi)容的照片���。
這些包含個(gè)人信息的人臉照片如果落入不法分子手中��,照片主人除了有可能遭遇精準(zhǔn)詐騙���,蒙受財(cái)產(chǎn)損失之外,甚還有可能因自己的人臉信息被用于洗錢��、涉黑等違法犯罪活動(dòng)�����,而卷入刑事訴訟����。
如何保護(hù)這些發(fā)在網(wǎng)上的照片呢?“擾動(dòng)”攻擊就是很好的選擇����。
“擾動(dòng)”攻擊的本質(zhì)是通過對照片進(jìn)行人類肉眼幾乎難以察覺的細(xì)微變化來保護(hù)照片中的敏感信息,使選定的特征無法被已知人工智能人臉識別算法檢測到。
在我們看來下面的兩張照片幾乎沒有區(qū)別�����,但事實(shí)上�����,AI算法能識別出左側(cè)圖片中的貓��,但無法識別右側(cè)“加擾”處理后圖片中的貓�����。
對于數(shù)字隱私保護(hù)來說���,現(xiàn)在阻止人們在社交媒體上發(fā)布照片為時(shí)已晚。但是����,我們可以采取措施對抗AI算法,擾動(dòng)攻擊在有效防范人臉識別AI算法的同時(shí)又不影響用戶的使用體驗(yàn)�,加擾后的照片肉眼看上去并沒有明顯變化。
對于隱私保護(hù)來說���,這也許會(huì)是非常有用的做法���。
