用來(lái)刷臉解鎖的 Face ID 也可以被「對(duì)抗樣本」攻擊了。最近，來(lái)自莫斯科國(guó)立大學(xué)、華為莫斯科研究中心的研究者們找到的新型攻擊方法，讓已經(jīng)廣泛用于手機(jī)、門禁和支付上的人臉識(shí)別系統(tǒng)突然變得不再靠譜。

在這一新研究中，科學(xué)家們只需用普通打印機(jī)打出一張帶有圖案的紙條貼在腦門上，就能讓目前業(yè)內(nèi)性能領(lǐng)先的公開(kāi) Face ID 系統(tǒng)識(shí)別出錯(cuò)，這是首次有 AI 算法可以在現(xiàn)實(shí)世界中實(shí)現(xiàn)攻擊：

AI 人臉識(shí)別系統(tǒng)在正常情況下的分類效果，它識(shí)別出了特定的人：Person_1。

貼上紙條以后，即使沒(méi)有遮住臉，系統(tǒng)也會(huì)把 Person_1 識(shí)別成另外一些人「0000663」和「0000268」等。

變換角度、改變光照條件都不會(huì)改變錯(cuò)誤的識(shí)別效果。加了貼紙后，我們可以看到 Person_1 的概率非常低。

使用對(duì)抗樣本攻擊圖像識(shí)別系統(tǒng)，在人工智能領(lǐng)域里已經(jīng)不算什么新鮮事了，但是想要在現(xiàn)實(shí)世界里做到無(wú)差別攻擊，還是人臉識(shí)別這種數(shù)千萬(wàn)人都在使用的應(yīng)用技術(shù)，這就顯得有些可怕了。使用這種新方法，人們可以輕松地打印一個(gè)破解紙條貼在腦門上，隨后讓 AI 識(shí)別的準(zhǔn)確率顯著下降。

從上面的動(dòng)圖可以看出，研究者實(shí)現(xiàn)的是非定向的攻擊，且對(duì)抗信息都集成在貼紙上。那么如果我們要找到一種定向的攻擊方式，讓系統(tǒng)將我們識(shí)別為特定的某個(gè)人，然后解鎖 ta 的手機(jī)，這也并不遙遠(yuǎn)，只要我們將以前定向攻擊的方式遷移到貼紙上就行了。

「對(duì)抗樣本」是人工智能的軟肋，這是一種可以欺騙神經(jīng)網(wǎng)絡(luò)，讓圖像識(shí)別 AI 系統(tǒng)出錯(cuò)的技術(shù)，是近期計(jì)算機(jī)視覺(jué)，以及機(jī)器學(xué)習(xí)領(lǐng)域的熱門研究方向。

在這篇論文中，研究者們提出了一種全新且易于復(fù)現(xiàn)的技術(shù) AdvHat，可以在多種不同的拍攝條件下攻擊目前最強(qiáng)的公共 Face ID 系統(tǒng)。想要實(shí)現(xiàn)這種攻擊并不需要復(fù)雜的設(shè)備——只需在彩色打印機(jī)上打印特定的對(duì)抗樣本，并將其貼到你的帽子上，而對(duì)抗樣本的制作采用了全新的算法，可在非平面的條件下保持有效。

研究人員稱，這種方法已經(jīng)成功地破解了目前最先進(jìn)的 Face ID 模型 LResNet100E-IR、ArcFace@ms1m-refine-v2，其攻擊方式也可以遷移到其他 Face ID 模型上。

現(xiàn)實(shí) Face ID 也能被攻擊

以前對(duì)抗攻擊主要體現(xiàn)在虛擬世界中，我們可以用電子版的對(duì)抗樣本欺騙各種識(shí)別系統(tǒng)，例如通用的圖像識(shí)別或更細(xì)致的人臉識(shí)別等。但這些攻擊有一些問(wèn)題，例如人臉識(shí)別攻擊只能是在線的識(shí)別 API，將對(duì)抗樣本打印出來(lái)也不能欺騙真實(shí)系統(tǒng)。

一個(gè)標(biāo)準(zhǔn)的線上人臉對(duì)抗樣本，它只能攻擊線上人臉識(shí)別模型或 API，無(wú)法用于線下的真實(shí)人臉識(shí)別場(chǎng)景。

對(duì)抗樣本的這種局限性，很大程度在于真實(shí)識(shí)別系統(tǒng)不止有人臉識(shí)別模塊，還有活體檢測(cè)等其它處理模塊。只要活體檢測(cè)判斷對(duì)抗樣本不是真人，那么它自然就失去了效果。因此，很多研究者在思考，我們能不能將對(duì)抗信息打印出來(lái)，貼在臉上或頭上某個(gè)位置，那么這不就能攻擊真實(shí)的人臉識(shí)別了么。甚至，我們可以把對(duì)抗信息嵌入到帽子或其它飾品內(nèi)，這樣不會(huì)更方便么。

沿著這樣的思路，華為莫斯科研究中心的兩位研究者就創(chuàng)造了這樣的對(duì)抗樣本。他們表示在以前 Face ID 模型還需要大量的私有數(shù)據(jù)，而隨著大規(guī)模公開(kāi)數(shù)據(jù)的發(fā)布，ArcFace 等研究模型也能與微軟或谷歌的模型相媲美。如果他們的對(duì)抗樣本能攻擊到 ArcFace，那么差不多就能攻擊業(yè)務(wù)模型。

研究者表示他們提出的 AdvHat 有如下特點(diǎn)：

AdvHat 是一種現(xiàn)實(shí)世界的對(duì)抗樣本，只要在帽子加上這種「貼紙」，那么就能攻擊頂尖的公開(kāi) Face ID 系統(tǒng)；

這種攻擊是非常容易實(shí)現(xiàn)的，只要有彩印就行；

該攻擊在各種識(shí)別環(huán)境下都能起作用，包括光照、角度和遠(yuǎn)近等；

這種攻擊可以遷移到其它 Face ID 系統(tǒng)上。

Face ID 該怎樣攻擊

在 Face ID 系統(tǒng)的真實(shí)應(yīng)用場(chǎng)景中，并非捕獲到的每張人臉都是已知的，因此 top-1 類的預(yù)測(cè)相似度必須超過(guò)一些預(yù)定義的閾值，才能識(shí)別出人臉。

這篇論文的目的是創(chuàng)造一個(gè)可以粘貼在帽子上的矩形圖像，以誘導(dǎo) Face ID 系統(tǒng)將人臉與 ground truth 相似度降到?jīng)Q策閾值之下。

這種攻擊大概包含以下流程：

將平面貼紙進(jìn)行轉(zhuǎn)換以凸顯三維信息，轉(zhuǎn)換結(jié)果模擬矩形圖像放在帽子上后的形狀。

為了提高攻擊的魯棒性，研究者將得到的圖像投影到高質(zhì)量人臉圖像上，投影參數(shù)中含有輕微的擾動(dòng)。

將得到的圖像轉(zhuǎn)換為 ArcFace 輸入的標(biāo)準(zhǔn)模板。

降低初始矩形圖像的 TV 損失以及余弦相似度損失之和，其中相似性是原圖嵌入向量與 ArcFace 算出嵌入向量之間的距離。

流程圖如下圖 2 所示：

圖 2：攻擊流程示意圖。

首先，研究者將貼紙重塑成真實(shí)大小和外觀的圖像，之后將其添加到人臉圖像上，然后再使用略為不同的轉(zhuǎn)換參數(shù)將圖像轉(zhuǎn)換為 ArcFace 輸入模板，最后將模板輸入到 ArcFace 中。由此評(píng)估余弦相似度和 TV 損失，這樣就可以得到用于改進(jìn)貼紙圖像的梯度信號(hào)。

圖 3：步驟 1 轉(zhuǎn)換貼紙的示意圖。

貼紙攻擊試驗(yàn)細(xì)節(jié)

如前所言，在將圖像輸入到 ArcFace 之前，研究者對(duì)其進(jìn)行了隨機(jī)修改。他們構(gòu)造了一批生成圖像，并通過(guò)整個(gè)流程計(jì)算在初始貼紙上的平均梯度。可以用一種簡(jiǎn)單的方法計(jì)算梯度，因?yàn)槊總€(gè)變換都是可微分的。

注意，在每一次迭代中，批中的每一個(gè)圖像上的貼紙都是相同的，只有轉(zhuǎn)換參數(shù)是不同的。此外，研究者使用了帶有動(dòng)量的 Iterative FGSM 以及在實(shí)驗(yàn)中非常有效的幾個(gè)啟發(fā)式方法。

研究者將攻擊分為兩個(gè)階段。在第一階段，研究者使用了 5255 的步長(zhǎng)值和 0.9 的動(dòng)量；在第二階段，研究者使用了 1255 的步長(zhǎng)值和 0.995 的動(dòng)量。TV 損失的權(quán)重一直為 1e ? 4。

研究者利用一張帶有貼紙的固定圖像進(jìn)行驗(yàn)證，其中他們將所有參數(shù)都設(shè)置為看起來(lái)最真實(shí)的值。

他們使用了最小二乘法法，并通過(guò)線性函數(shù)來(lái)插入最后 100 個(gè)驗(yàn)證值：經(jīng)歷了第一階段的 100 次迭代和第二階段的 200 次迭代。如果線性函數(shù)的角系數(shù)不小于 0，則：1）從第一階段過(guò)渡到第二階段的攻擊；2）在第二階段停止攻擊。

「對(duì)抗樣本貼」效果怎么樣

研究者在實(shí)驗(yàn)中使用一張 400×900 像素的圖像作為貼紙圖像，接著將這張貼紙圖像投射到 600×600 像素的人臉圖像上，然后再將其轉(zhuǎn)換成 112×112 像素的圖像。

為了找出最適合貼紙的位置，研究者針對(duì)貼紙定位進(jìn)行了兩次實(shí)驗(yàn)。首先，他們利用粘貼在 eyez 線上方不同高度的貼紙來(lái)攻擊數(shù)字域中的圖像。然后，他們根據(jù)空間 transformer 層參數(shù)的梯度值，在每次迭代后變更貼紙的位置。

下圖 4 展示了典型對(duì)抗貼紙的一些示例?？雌饋?lái)就像是模特在貼紙上畫了挑起的眉毛。

圖 4：對(duì)抗貼紙示例。

為了檢測(cè) AdvHat 方法在不同拍攝條件下的魯棒性，研究者為最開(kāi)始 10 個(gè)人中的 4 人另拍了 11 張照片。拍攝條件示例如下圖 6 所示：

圖 6：研究者為一些人另拍了 11 張照片，以檢測(cè)不同拍攝條件下的攻擊效果。

檢測(cè)結(jié)果如下圖 7 所示：雖然最終相似度增加了，但攻擊依然有效。

圖 7：各種拍攝條件下的基線和最終相似度。圖中不同顏色的圓點(diǎn)代表不同的人。圓表示對(duì)抗攻擊下的相似性，而 x 表示基線條件下的相似性。

最后，研究人員檢驗(yàn)了該方法對(duì)于其他 Face ID 模型的攻擊效果。他們選取了 InsightFace Model Zoo 中的一些人臉識(shí)別方法。在每個(gè)模型上均測(cè)試了 10 個(gè)不同的人。

圖 8：不同模型中，基線和最終相似度的差異。

雖然 AdvHat 生成的對(duì)抗樣本很簡(jiǎn)單，但這種攻擊方式看起來(lái)已適用于大多數(shù)基于攝像頭的人臉識(shí)別系統(tǒng)。看來(lái)想要不被人「冒名頂替」，我們還是需要回到虹膜識(shí)別？