1 清華大學的RealAI 團隊15分鐘解鎖19款手機

剛剛，清華大學的一條重大發(fā)現(xiàn)，利用人臉識別技術的漏洞，“ 15分鐘解鎖19個陌生智能國產手機 ”的事件，引發(fā)無數(shù)網友關注。

據悉，清華大學的RealAI 團隊共選取了 20 款手機，其中1款是國外的，另外19款都是我們國產的智能手機，均來自排名前五的國產手機品牌，每一品牌下選取了 3－4 款不同價位的手機型號，覆蓋低端機到旗艦機 。

1）測試步驟如下：

• 第一步，清華大學的測試人員，把19部國產手機，人臉識別全部綁定為旁邊的“ 1號同學 ”；

• 第二步，讓旁邊的同學、同事，拿起他的手機，進行人臉識別。請注意，這里直接識別非綁定人員的面部是無法打開的；

• 第三步：將1號同學的照片，特別是眼睛部位圖案打印并裁剪出來，貼到我們平時戴的眼鏡上面。然后，奇跡發(fā)生了，解鎖成功了！

據了解，研究團隊選取了20款手機進行測試，除了一臺iPhone 11外，其余安卓機型均在15分鐘內破解。這19款手機覆蓋排名前五的國產手機品牌的低端機到旗艦機型。其中一款是某品牌在去年12月發(fā)布的最新款旗艦機。

從被破解的程度上看，攻擊這些手機的難度幾乎沒有任何區(qū)別，不管是低端機，還是售價4000以上的高端手機，全都解鎖成功。

除了破解手機面部解鎖系統(tǒng)，研究團隊還通過對抗樣本攻擊，通過了一些政務、金融類的App人臉識別認證，甚至假冒機主，在線上完成銀行開戶。

據介紹，雖然開發(fā)出核心算法的難度很大，但如果有黑客惡意開源這一算法，就會極大降低破解的難度。研究人員建議，人臉識別應用方可通過在認證過程中增加檢驗對抗樣本的模塊，來防范此類風險。

2）那么新的攻擊方式是如何實現(xiàn)的？

據介紹，RealAI 使用的整個破解過程物理上只用到三樣東西：一臺打印機、一張 A4 紙、一副眼鏡框。

算法人員們介紹，他們在拿到被攻擊者的照片后，通過算法在眼部區(qū)域生成干擾圖案，然后打印出來裁剪為「眼鏡」的形狀貼到鏡框上，測試人員戴上就可以實現(xiàn)破解，整個過程只花費 15 分鐘左右。

左一為被攻擊對象的眼部圖像，右一、右二為生成的對抗樣本圖案。

與生成對抗網絡 GAN 的對抗樣本類似的是，「眼鏡」上的花紋雖然很像復制了被攻擊者的眼部圖案，但其實并沒有這么簡單。算法人員表示，這是結合攻擊者的圖像與被攻擊者的圖像通過算法計算生成的擾動圖案，在 AI 學界稱為「對抗樣本」。

將攻擊者圖像設定為輸入值，被攻擊者圖像設定為輸出值，算法會自動計算出最佳的對抗樣本圖案，保證兩張圖像相似度達到最高值。

看似粗糙的攻擊手段，核心的對抗算法研發(fā)其實極具技術門檻。

但這也并不意味這一安全問題構不成威脅，RealAI 團隊表示，「雖然開發(fā)出核心算法難度很大，但如果被黑客惡意開源的話，上手難度就大大降低了，剩下的工作就只是找張照片?！寡酝庵饩褪牵灰苣玫奖还魧ο蟮?1 張照片，大部分人都能很快制作出犯罪工具實現(xiàn)破解。

對抗樣本攻擊，從實驗室走進現(xiàn)實

對抗樣本攻擊的概念其實并不新穎，2013 年，Google 研究員 Szegedy 等人發(fā)現(xiàn)機器學習容易遭受欺騙，通過故意在數(shù)據源上添加細微擾動，就可以讓機器學習模型作出錯誤輸出，對抗樣本攻擊也被視為 AI 安全領域的一大隱憂。

在某些神經網絡中，這張圖像被認為是熊貓的置信度是 57.7%，且其被分類為熊貓類別的置信度是所有類別中最高的，因此網絡得出一個結論：圖像中有一只熊貓。但是，只需要添加少量精心構造的噪聲，可以得到一個這樣的圖像（右圖）：對于人類而言，它和左圖幾乎一模一樣，但是網絡卻認為其被分類為「長臂猿」的置信度高達 99.3%。

2人臉識別風險問題屢屢發(fā)生

人臉識別到底存在哪些風險？風險又有多大？這些問題其實已經經常發(fā)生在社會里。

1) 董明珠闖紅燈了？原來是大巴車上的廣告被人臉識別搞錯了

比如之前就發(fā)生過，交通攝像頭把大巴車上的董明珠廣告人像錯當成橫穿馬路的行人進行了抓拍，還在旁邊打出了“橋東違法闖紅燈”的字樣，該事件還上了熱搜榜單；同樣，在去年還發(fā)生了一起“小學生輕松破解豐巢刷臉取件”的熱點事件，浙江小學生發(fā)現(xiàn)，用一張人像的打印照片即可輕松“破解”豐巢智能柜的“刷臉取件”，取出父母的快件。事件發(fā)酵后，豐巢緊急下線了該功能，并向公眾回應稱，“刷臉取件”是小范圍推出的測試版本，已第一時間下線，并未造成用戶損失。

2) 人臉識別安全嗎？罪犯的初中文化水平讓人臉識別被打臉

在很多人的眼里，蘋果手機的安全性是要高于一般的安卓手機的。

但廣西法院近日公開的一份刑事判決書，不得不讓人重新審視這個安全性， 判決書顯示，2019年6月8日19時許，被告人黃某到柳州市一家二手手機店，欲在此店選購手機。黃某挑選手機時，看到被害人陳某已出售在此店的一部蘋果牌手機，后發(fā)現(xiàn)陳某的微信、支付寶賬戶并未退出，遂購買了該手機。

次日2時至9時期間，黃某在柳州市魚峰區(qū)柳石路和九頭山路路口處一樹下，利用該手機內陳某的照片，制作了一張人臉識別動態(tài)圖在支付認證時使用，以此方式分別從陳某的微信賬戶、支付寶賬戶內轉款人民幣9100元、7500元至其個人賬戶。

隨后，黃某將該手機退還到原手機店，并將贓款揮霍。

值得一提的是，1996年出生于廣西壯族自治區(qū)柳州市的黃某，初中文化，無職業(yè)。

3) 不能讓“戴頭盔看房”成為無奈

近期，一則“戴頭盔看房”的視頻在網上流傳。買房者為何要戴著頭盔買房呢？許多人首先想到的是，他是不是怕被熟人認出來。但是通過調查發(fā)現(xiàn)，買房人并不是怕被熟人認出來，而是為了躲避售樓處的人臉識別系統(tǒng)。安裝人臉識別裝置，在一些地方的售樓處成為“標配”，其目的就是為了配合房企的“分銷模式”，鎖定購房者的身份，避免房企銷售人員和中介的扯皮。

乍聽起來，售樓處的這個舉措，能夠避免客戶群體劃分不清導致的爭端，但仔細想想，購房者的隱私誰來保障呢？更有甚者，一旦購房者因為人臉識別系統(tǒng)被判定為“自然到訪客戶”，就不能享受到渠道優(yōu)惠，也難怪購買者要戴著頭盔來看房子了。

人臉識別技術不能濫用，這在法律上已有明確的規(guī)定。在相關法律條款中都明確，信息收集者不僅要“明示收集、使用信息的目的、方式和范圍”，而且必須“經被收集者同意”。就在近日，被稱為“人臉識別第一案”的郭兵與杭州野生動物世界有限公司服務合同糾紛案一審宣判。在法律人士看來，宣判的結果意味著，當人們發(fā)現(xiàn)有單位或個人使用人臉識別設備且自己不愿意被識別，可以主動與對方溝通，要求其刪除與自己相關的個人信息數(shù)據，必要時完全可以通過訴訟方式維護自己的合法權益。

2 大眾點評：

2.1 新民快評: 有關部門對于濫用人臉識別不能“赤裸裸”地無視

必須評估其使用的正當性、必要性、安全性，不能等到問題大了之后，再進行約束，這樣就可能會面臨更大的阻力。只有靠前一步進行監(jiān)管，才能讓人臉識別技術更好地造福社會，避免對于個人隱私的傷害。

2.2 白巖松談戴頭盔看房：希望法律為我們戴頭盔

2.3 支付產業(yè)網:刷臉支付存在著嚴峻的安全問題

支付產業(yè)網看到，在公、檢、法嚴謹?shù)霓k案流程下，判決書中并未出現(xiàn)第三人相助，黃某僅憑一己之力就可以用受害人的照片生成了動態(tài)圖，順利通過了微信支付寶的支付認證。

用戶在微信支付和支付寶中的資金受到損失，無疑將會影響兩者在用戶心中安全性的評價。雖然微信支付和支付寶是調用了蘋果手機的人臉識別接口，把身份認證交由蘋果來確認，但絲毫不影響用戶在支付機構的賬戶資金受損的事實。

這同時也說明了刷臉支付存在著嚴峻的安全問題，即使如市值過萬億美元的蘋果公司也未能徹底防住動態(tài)圖的欺詐。

2.4 央行科技司司長李偉

就在去年夏天，央行科技司司長李偉在一次會上表示，人臉是非常敏感的個人信息，一旦泄露或被盜取，會帶來非常大的影響?，F(xiàn)在有的技術在三公里之外可以識別人臉，如果人臉支付時，一刷臉錢就沒了，一個場景不能表達客戶的主觀意愿是可怕的。所以有技術也不能濫用，有技術也不能任性。

2.5 媒體點評

上個月，有分析人士撰文對刷臉支付的幾點擔憂。由于人臉的暴露性、被動性(不能夠主動發(fā)起交易)和非接觸性(不需要和設備直接接觸)，怎么界定是顧客主動支付的，還是被動的。

過去，刷卡、掃碼普遍有輸入密碼的過程，指紋至少也有去主動驗證指紋的動作，這些行為都是客戶交易意愿的詮釋。

而刷臉支付則使這些主動行為無從放置，后果就是客戶有可能在不具有交易意愿的情況下“無感”支付而蒙受損失。

2.6 技術專家點評

新昕科技的CTO劉光昕則認為：

1. 刷臉支付并不安全，人臉作為公開的信息，拿人臉作為答案去驗證的機制存在巨大問題，移動互聯(lián)網時代不僅個人圖片、甚至動態(tài)的視頻在朋友圈分享, 如何保護我們的人臉是個巨大的問題。
2. 指紋識別相對安全， 指紋被分享的可能性比較小, 但目前也存在被各中App惡意采集的可能。
3. 短信驗證則更安全， 由于短信驗證碼具有一次一碼，所以短信驗證還是作為支付、用戶注冊環(huán)節(jié)中的重要手段。

但短信驗證本身也存在被盜刷的風險 ， 所以出現(xiàn)了各種煩人的圖片驗證碼及滑動、點按之類的多余操作。 新昕科技則研發(fā)了獨特的全無感短信防火墻，在無圖形驗證碼的前提下， 確保短信驗證碼的安全 。