清華團隊發明破解眼鏡　輕鬆騙過19款Android手機人臉解鎖系統

人臉識別技術在智能手機上已經是標配，今天的我們刷臉解鎖、刷臉支付就像吃飯喝水一樣自然，以至於疫情期間戴口罩無法解鎖手機時，我們會感到很不習慣。在享受便利的同時，卻鮮有用戶去關心安全問題。雖然手機廠商往往會在發布手機的時候宣稱「破解人臉識別的機率低至百萬分之一」，但雙胞胎解鎖對方手機的事情仍然偶爾會上新聞。最近一段時間，來自清華的RealAI（瑞萊智慧）向我們展示了一項更為簡單的攻擊技術……在一副眼鏡的攻擊下，19款國產Android手機無一倖免，全部被快速破解。

具體來說，RealAI 團隊選取了20 款手機做了攻擊測試，覆蓋不同價位的低端機與旗艦機。測試者佩戴了一副含有對抗樣本圖案的眼鏡，製作這副眼鏡的成本很低：借用一台打印機，加上一張A4 紙。

最終，除了一台iPhone11，其餘Android機型全部解鎖成功，完成整個破解過程只花了15分鐘。攻擊測試人員成功解鎖手機後，任意翻閱機主的微信、信息、照片等個人隱私信息，甚至還可以通過手機銀行等個人應用APP的線上身份認證完成開戶。

點圖看看「破解眼鏡」外觀及解鎖過程▼▼▼

RealAI 團隊表示，這一攻擊測試主要利用了人工智能算法存在的「對抗樣本」漏洞，但不同於之前的攻擊嘗試主要在實驗環境下進行，而這次手機的攻擊測試則佐證了這一安全漏洞的真實存在性。RealAI 表示，這是世界唯一通過AI 對抗樣本技術攻破商用手機人臉解鎖的案例。更為嚴重的問題在於，這一漏洞涉及所有搭載人臉識別功能的應用和設備，一旦被黑客利用，隱私安全與財產安全都將受到威脅。

整個測試過程非常簡單，RealAI 團隊共選取了20 款手機，除了一台iPhone11，其餘都為Android機型，來自排名前五的國產品牌，每一品牌下選取了3-4 款不同價位的手機型號，覆蓋低端機到旗艦機。測試開始前，這20部手機被統一錄入同一位測試人員的人臉驗證信息，隨後另一位作為「攻擊者」的測試人員戴上加入對抗樣本特技的「眼鏡」依次去嘗試解鎖。最終結果令人驚訝：除了iPhone11倖免於難，其餘手機全部成功解鎖。從被破解的程度上看，攻擊這些手機的難度也幾乎沒有區別，都是秒級解鎖。

測試人員表示，雖然通常認為低端手機人臉識別的安全性相對更差，但抵禦攻擊性能的強弱似乎與手機價格並無直接聯繫，其中有一款2020年12月最新發布的的旗艦機，多次測試下來發現，基本都是「一下子」就打開了。突如其來的成功讓研究人員都覺得有點不可思議，要知道在一些黑客挑戰賽上，挑戰人臉識別技術的項目經常伴隨著數次嘗試與失敗。「這樣的結果還挺出乎我們意料的，我們以為會需要多調幾次，但沒想到這麼容易就成功了。」RealAI 的算法人員表示。

那麼新的攻擊方式是如何實現的？

據介紹，RealAI使用的整個破解過程物理上只用到三樣東西：一台打印機、一張A4紙、一副眼鏡框。算法人員們介紹，他們在拿到被攻擊者的照片後，通過算法在眼部區域生成干擾圖案，然後打印出來裁剪為「眼鏡」的形狀貼到鏡框上，測試人員戴上就可以實現破解，整個過程只花費15 分鐘左右。

與生成對抗網絡GAN的對抗樣本類似的是，「眼鏡」上的花紋雖然很像複製了被攻擊者的眼部圖案，但其實並沒有這麼簡單。算法人員表示，這是結合攻擊者的圖像與被攻擊者的圖像通過算法計算生成的擾動圖案，在AI學界稱為「對抗樣本」。將攻擊者圖像設定為輸入值，被攻擊者圖像設定為輸出值，算法會自動計算出最佳的對抗樣本圖案，保證兩張圖像相似度達到最高值。看似粗糙的攻擊手段，核心的對抗算法研發其實極具技術門檻。

但這也並不意味這一安全問題構不成威脅，RealAI團隊表示，「雖然開發出核心算法難度很大，但如果被黑客惡意開源的話，上手難度就大大降低了，剩下的工作就只是找張照片。」言外之意就是，只要能拿到被攻擊對象的1張照片，大部分人都能很快製作出犯罪工具實現破解。

對抗樣本攻擊，從實驗室走進現實

對抗樣本攻擊的概念其實並不新穎，2013年，Google研究員Szegedy等人發現機器學習容易遭受欺騙，通過故意在數據源上添加細微擾動，就可以讓機器學習模型作出錯誤輸出，對抗樣本攻擊也被視為AI安全領域的一大隱憂。

信息安全的本質是攻防，AI 安全領域也是如此。科學家們通過不斷開展新的攻擊嘗試來試探對抗樣本攻擊的能力邊界。近年來，我們看到了AI 研究者們展示的各種攻擊方式：讓圖像識別算法將3D 打印烏龜認作步槍，攻擊目標檢測系統讓人體實現「隱身」，破解物體識別檢測器讓自動駕駛錯誤識別停車標誌……

但技術的發展存在一個過程，很多在實驗環境下開展的攻擊研究經常被證明並不穩定，難以走出實驗室，無法帶來明顯的安全隱患。包括2019 年8 月份，來自莫斯科國立大學、華為莫斯科研究中心的研究者們曾發布，在腦門上貼一張對抗樣本圖案，能讓公開的Face ID 系統識別出錯，這雖然被視為AI 算法首次在現實世界中實現攻擊，但攻擊對象仍是公開版的識別系統，其安全性、複雜性與真正商用系統仍有很大差距。RealAI 團隊本次實現的攻擊卻真正打破了「難以復現」的情況，一方面證實了對抗樣本攻擊的切實威脅，一方面也印證了人臉識別這項數千萬人都在使用的應用技術正面臨全新的安全挑戰。

近年來，關於人臉識別的爭議一直存在，此前也陸續曝光過「一張打印照片就能代替真人刷臉」、「利用視頻欺騙人臉身份認證」、「打印3D 模破解手機人臉解鎖」等等安全事件。不過，RealAI 算法人員表示，目前市面上常見的攻擊手段以「假體攻擊」為主，比如照片、動態視頻、3D 頭模或面具，識別終端採集的仍然是機主本人的圖像素材，主要難點在於攻破動態檢測，不過這類攻擊目前已經很容易被防範——2014 年防假體標準推出，讓業界主流算都搭載了活體檢測能力。

隨後業內又出現了網絡攻擊方法，通過劫持攝像頭來繞過活體檢測。但對抗樣本攻擊完全不受活體檢測限制，是針對識別算法模型的攻擊，終端採集到的是攻擊者的圖像，通過活體檢測後，因為添加了局部擾動，識別算法發生了錯誤識別。「對於人臉識別應用來說，這是一個此前未曾出現的攻擊方式，」RealAI 算法人員解釋道。「如果把人臉識別比喻成一間屋子，每一個漏洞的出現就相當於屋子裡面多個沒關嚴的窗戶，活體檢測等安全認證技術相當於一把把鎖。對於廠商來說，他們或許以為這間屋子已經關嚴實了，​​但對抗樣本的出現無疑是另一扇窗，而此前完全沒有被發現，這是一個新的攻擊面。」

我們能防禦這種攻擊嗎？

在人臉識別應用氾濫的今天，人臉識別與個人隱私、個人身份、個人財產等等因素都息息相關，這個口子一旦被撕開，連鎖反應就被打開。RealAI表示，現有的人臉識別技術可靠度遠遠不夠，一方面受制於技術成熟度，另一方面受至於技術提供方與應用方的不重視。「順利解鎖手機只是第一步，其實我們通過測試發現，手機上的很多應用，包括政務類、金融類的應用APP，都可以通過對抗樣本攻擊來通過認證，甚至我們能夠假冒機主在線上完成銀行開戶，下一步就是轉賬。」

未來是否會有專門的產品與技術來應對對抗樣本攻擊？RealAI 的回復是，這是一定的。而且他們目前已開發了相應的防禦算法能夠協助手機廠商進行升級。「所有的攻擊研究，最終的目標還都是為了找出漏洞，然後再去針對性地打補丁、做防禦。」

在這一方面，RealAI 去年推出了人工智能安全平台RealSafe。他們將這款產品定義為AI 系統的殺毒軟件與防火牆系統，主要就是針對人臉識別等應用級AI 系統做防禦升級，幫助抵禦對抗樣本攻擊等安全風險。

對於人臉識別技術的提供方，基於這一平台，可以低成本快速實現安全迭代；對於人臉識別技術的應用方，可以通過這一平台對已經落地的系統應用進行安全升級，也可以在未來的產品採購，加強對人臉識別技術、相關信息系統和終端設備的安全性檢測。但人臉識別技術引發的擔憂遠不止於此，除了技術側的解決方案之外， 最終填補漏洞還需要依賴社會對於人工智能安全問題的意識提升。

【本文轉自「機器之心」，微信公眾號：almosthuman2014】