攻擊者拿到一張你的照片，據此製作一副特殊“眼鏡”，就可以刷臉解鎖你的手機？這是真的。

最近，依託清華大學人工智能研究院成立的團隊瑞萊智慧RealAI披露了新的研究成果：研究人員通過對抗樣本攻擊，破解了19款安卓手機的人臉識別解鎖系統。

同樣被破解的，還包括十餘款金融和政務服務類App。

研究人員使用的“眼鏡”。

視頻報道。

照片加上特殊“花紋”即可騙過人臉識別

在介紹RealAI的新研究之前，我們先簡單解釋一下何爲“對抗樣本”。

訓練算法模型需要輸入數據。而對抗樣本，簡單而言，就是一種由攻擊者設計的錯誤輸入數據。只要在原有數據上添加干擾因素，就能導致算法模型輸出完全不同的結果。

人的肉眼可能完全看不出對抗樣本的變化。所以，你也可以把干擾因素理解爲一種特殊的“花紋”。

對抗樣本最有名的例子之一，出自前谷歌大腦研究人員、有着“生成對抗網絡（GAN）之父”稱號的科學家伊恩·古德費洛（Ian Goodfellow）——在他的研究中，算法將一張大熊貓圖片的對抗樣本識別成了長臂猿。

研究人員在大熊貓圖片上添加干擾後，算法將其識別成了長臂猿。

瑞萊智慧RealAI高級產品經理張旭東介紹，他們此次採用的破解方式，也是對抗樣本攻擊。

不過，不同於學術界研究較多的虛擬世界攻擊，這一攻擊發生在真實世界。研究人員不需要用到劫持攝像頭等手段，便可以直接破解人臉識別系統。

在製作對抗樣本時，研究人員需要同時用到“攻擊者”和“受害者”的照片，將“攻擊者”照片設定爲基準、“受害者”照片設定爲攻擊目標。

攻擊算法在接收到兩人的照片後，會自動生成干擾後的圖案，就像一塊人臉“補丁”。隨後，攻擊者用A4紙打印出這塊“補丁”，再貼到一副鏡框上戴好，就會“化身”爲受害者，讓算法識別錯誤。

據瞭解，人臉識別算法，是依據相似度來分辨不同的人。兩張圖片的相似度高於閾值，就會被算法判定爲同一人。攻擊者通過戴上“補丁”眼鏡讓兩個人的相似度大幅提高，從而實現破解。

左一是“受害者”的眼部圖像，右一、二是對抗樣本圖像。

19款主流品牌手機及數款銀行應用被破解

據介紹，研究人員選取了20款手機進行測試，除了蘋果以外，還涉及到國內五大主流手機品牌的不同價位機型。

經過測試，除了一臺iPhone11，其餘安卓機型全部被成功解鎖。攻擊者進入手機系統後，可以任意翻閱機主的微信、短信、照片等私密信息。

南都·AI前哨站在測試現場看到，攻擊者破解手機的過程相當迅速，基本上幾秒內就可以順利解鎖。

研究人員說，整體而言，低端機的安全性要差一些，但高端機同樣能夠被破解。他們測試了一款2020年12月發佈的國產品牌旗艦機，也是“一下子就打開了”。

研究人員通過手機人臉識別解鎖。

不僅僅是手機，部分App的人臉識別也存在類似的安全漏洞。

在掌握了受害者的姓名、身份證號、手機號等個人信息後，研究人員甚至可以在十餘款銀行及政務類App上通過人臉識別驗證，冒用受害者身份完成銀行開戶，或者查看受害者的社保、公積金等詳細信息。

值得注意的是，App實名認證的安全要求比手機解鎖更加嚴格，一般會要求用戶進行一些交互操作，比如眨眨眼、點點頭。但在測試中，研究人員把對抗樣本的眼睛部分挖掉，再做出眨眼、點頭等動作，依然可以通過驗證。

研究人員通過某政務類App人臉識別驗證。

這意味着，即便是那些搭載了交互式活體檢測功能的商用人臉識別算法，依然能被對抗樣本破解。

有研究人員告訴南都·AI前哨站，目前業界主流的人臉識別算法都具備了活體檢測能力，所以之前常見的用一張照片、一段視頻來完成刷臉的做法已經行不通。但對抗樣本攻擊針對的是算法模型底層的漏洞，完全不受活體檢測限制。攻擊者在臉上添加了局部擾動，導致算法產生了錯誤識別。

“對於人臉識別應用來說，這是一個此前從未有過的攻擊面，需要採取針對性的措施加固。”研究人員說。

破解的技術門檻較高 但仍有現實威脅

不同的手機廠商和App，使用的人臉識別算法難道沒有差異？爲什麼同一副眼鏡能解鎖不同的手機和App？

張旭東告訴南都·AI前哨站，一個對抗樣本不可能攻破所有的產品，但“在一定範圍內是通用的”。“現在市場上在商用的主流人臉識別模型其實只有幾種。模型之間有可遷移性，也就是有相通的地方，所以我們可以利用這一原理去進行攻擊，攻破這19款手機也只用到了兩幅眼鏡。”

需要說明的是，對抗樣本的製作，依賴於一個核心的算法模型。

張旭東介紹，雖然在此次的研究中，模型僅用5分鐘左右就可以輸出質量較高的對抗樣本，但他們所使用的模型也經歷了多次迭代的過程。

要開發出這樣的模型並不容易，技術門檻較高。但張旭東說，如果有黑客惡意開源相關模型，製作對抗樣本的難度就會大大降低，沒有技術背景的人也可以上手。

在人工智能領域，類似的案例並不少見，AI換臉便是典型。在Deepfake問世之後，各種各樣的開源換臉模型和軟件也相繼出現。裁判文書網案例顯示，一些犯罪團伙便是使用開源軟件完成了換臉素材的製作，進而攻破一些金融支付類App。

還有外國開發者推出過一款AI軟件，可以把正常照片轉換爲“裸照”。因爲爭議太大，開發者很快下架了軟件。但直到很久之後，這款軟件還在各種網絡灰色渠道流傳，甚至被人高價出售。

研究人員建議：不要隨便在網上發照片

令人不安的是，RealAI團隊所使用的人工智能模型，對於受害者的照片沒有太高要求。“大家平常在社交網站上傳的照片，只要能看清臉，其實就可以用來做攻擊。”張旭東說。

因此，他建議大家不要隨便在網上發含有清晰人臉的照片，同時要保護好自己的手機號、身份證號等個人信息。

以銀行類App爲例，雖然現在的支付轉賬操作都需要多因素驗證，但一旦用戶的個人信息全部泄露，不法分子就可能同時完成刷臉、輸入手機驗證碼等操作，使得多因素驗證失效。

信息安全攻防，是一個“魔高一尺，道高一丈”的過程。在張旭東看來，就像照片攻擊推動了活體檢測的誕生，未來，也需要有專門的產品和技術來應對對抗樣本攻擊。

目前，研究團隊已經與測試中涉及的廠商取得聯繫，協同推進漏洞的修復。

“所有的攻擊研究，最終的目標還都是爲了找出漏洞，然後再去針對性地打補丁、做防禦。”張旭東說，“我們攻克的人臉識別，其實只是廠商業務環節之中的一環。他們面臨的安全風險到底處於什麼程度？要怎樣解決問題？不同的場景下，業務方所面臨的安全風險和加固需求都是不一樣的，需要大家一起去探索。”

採寫：南都記者馮羣星 潘穎欣