完美:19款国产手机无一幸免：15分钟破解人脸识别，打印眼镜让刷脸形同虚设

　　完美:19款国产手机无一幸免：15分钟破解人脸识别，打印眼镜让刷脸形同虚设

　　人脸识别技术已经成为智能手机的标配。今天，我们刷脸解锁支付就像吃饭喝水一样自然，以至于疫情期间戴着口罩无法解锁手机时，我们会感到非常难受。

　　在享受便利的同时，很少有用户关心安全问题。尽管手机厂商在发布手机时经常宣称“破解人脸识别的几率低至百万分之一”，但双胞胎还是偶尔会爆出解锁对方手机的新闻。

　　近日，来自清华大学的RealAI向我们展示了一种更简单的攻击技术……在一副眼镜的攻击下，19款采用二维人脸识别的国产安卓手机无一幸免。都很快被破解了。

　　具体来说，RealAI团队选取了20款手机进行攻击测试，涵盖了不同价位的低端和旗舰手机。

　　测试者佩戴一副收录

对抗样本图案的眼镜。制作这副眼镜的成本很低：借了一台打印机，再加一张A4纸。

　　反对眼镜。

　　最终，除了一台iPhone 11外，其他安卓机型全部解锁成功，整个破解过程仅用了15分钟。攻击测试人员成功解锁手机后，可以浏览机主的微信、消息、照片等个人隐私信息，甚至可以通过手机银行等个人APP的在线身份认证进行开户。

　　RealAI团队表示，本次攻击测试主要利用了人工智能算法中的“对抗样本”漏洞，但与以往主要在实验环境中进行的攻击尝试不同，本次针对手机的攻击测试证明了这一安全漏洞的真实存在。

　　据RealAI介绍，这是全球唯一通过AI反样本技术攻破商用手机人脸解锁的案例。

　　更严重的问题是，该漏洞涉及所有搭载人脸识别功能的应用和设备。一旦被黑客利用，隐私安全和财产安全将受到威胁。用AI算法为“眼镜”设计一层伪装

　　整个测试过程非常简单。RealAI团队选取了20款手机，除一款iPhone 11外，其余均为国产前五品牌的Android机型。每个品牌选择了3-4款不同价位的手机，涵盖了低端到旗舰机。

　　测试开始前，将这20部手机统一录入同一测试人员的人脸验证信息，然后作为“攻击者”的另一测试人员戴上添加了防样本特技的“眼镜”，依次尝试解锁. 最后的结果让人意外：除了iPhone 11幸免于难外，其他手机全部解锁成功。从破解程度来看，这些手机的攻击难度几乎没有区别，都是秒解锁。

　　

" />

　　测试人员表示，虽然普遍认为人脸识别在低端手机上的安全性比较差，但抗攻击性能的强弱似乎与手机价格没有直接关系。其中就有一款2020年12月发布的旗舰机，经过多方测试发现，基本上是“一下子全开了”。

　　突如其来的成功让研究人员感到有些不可思议。要知道在一些黑客挑战赛中，挑战人脸识别技术的项目往往伴随着多次尝试和失败。“这个结果相当出乎我们的意料，本以为还需要多调几次，没想到这么容易就成功了。” RealAI的算法人员说。

　　那么新的攻击方式是如何实现的呢？

　　据介绍，RealAI使用的整个破解过程物理上只用到了三样东西：一台打印机、一张A4纸、一副眼镜框。

　　算法工作人员介绍，他们拿到受害人的照片后，利用算法在眼部区域生成干涉图案，然后打印出来剪成“眼镜”的形状贴在镜框上，测试人员在戴上它们时可能会破裂。整个过程只需要大约15分钟。

　　左一为被攻击对象的眼睛图像，右一、二为生成的对抗样本模式。

　　类似于针对网络 GAN 生成的对抗样本，虽然“眼镜”上的图案看起来像是在复制被攻击者的眼睛图案，但实际上并没有那么简单。算法人员表示，这是将攻击者的图像和受害者的图像结合起来，通过算法计算生成的扰动模式，在AI学术界被称为“对抗样本”。

　　以攻击者图像为输入值，攻击者图像为输出值，算法会自动计算出最佳的对抗样本模式，确保两幅图像的相似度达到最高值。

　　虽然攻击方式看似粗糙，但核心对抗算法的研发其实技术难度很大。

　　但这并不意味着这个安全问题不是威胁。RealAI团队表示，“虽然核心算法的研发难度很大，但如果被黑客恶意开源，上手难度会大大降低，剩下的工作就是找张照片了。” 言下之意，只要能拿到被攻击目标的照片，大部分人都可以很快制作出破解工具。对抗样本攻击，从实验室到现实

　　对抗样本攻击的概念并不新鲜。2013年，谷歌研究员Szegedy等人发现机器学习很容易被骗。通过故意向数据源添加细微的扰动，机器学习模型可能会产生错误的输出。对抗样本攻击也一直被视为AI安全领域的一大隐忧。

　　在一些神经网络中，这张图片被认为是熊猫的置信度是57.7%，它被归类为熊猫类别的置信度是所有类别中最高的，所以网络得出结论：有一只熊猫在图片 。然而，仅添加少量精心构造的噪声会产生一张图像（右图），对于人类来说几乎与左图相同，但网络将其分类为“长臂猿”的置信度为 99.3%。

　　信息安全的本质是攻守兼备，AI安全领域也是如此。科学家通过不断发起新的攻击尝试来测试抵抗样本攻击能力的边界。

　　近年来，我们看到了AI研究人员展示的各种攻击手段：让图像识别算法将3D打印的乌龟识别为步*敏*感*词*，攻击目标检测系统让人体“隐形”，破解物体识别检测器来让自动驾驶错误识别停车标志……

　　

" />

　　但是，技术的发展是有一个过程的。许多在实验环境中进行的攻击研究往往被证明是不稳定的，难以走出实验室，不能带来明显的安全隐患。

　　包括2019年8月，莫斯科国立大学和华为莫斯科研究中心的研究人员宣布，在额头上粘贴一个对抗性的样本图案，可以让公众的Face ID系统识别错误。虽然这被视为首次针对人工智能算法的攻击在现实世界中实现，但攻击对象仍为公版识别系统，其安全性和复杂性仍远落后于真实商业系统。

　　此次RealAI团队实施的攻击，真正打破了“难以重现”的局面。一方面印证了反样本攻击的真实威胁，另一方面也印证了人脸识别这一被千万人使用的应用技术。面临新的安全挑战。

　　近年来，关于人脸识别的争议一直存在。此前，曾曝出“打印照片可替代真人脸”、“利用视频骗过人脸身份认证”、“打印3D模型破解手机人脸解锁”等安全事件。

　　不过，RealAI算法工作人员表示，目前市面上常见的攻击方式主要是“假体攻击”，比如照片、动态视频、3D人头模型或者*敏*感*词*，识别终端仍然采集主人本人的图像素材，主要难点是突破动态检测，但这类攻击已经很容易防范——2014年推出反假体标准，让业界主流计算具备活体检测能力。

　　然后业界出现了一种网络攻击方式，通过劫持*敏*感*词*来绕过活体检测。然而，对抗样本攻击完全不受活体检测的限制。是对识别算法模型的攻击。终端采集

攻击者的图像。通过活体检测后，由于加入了局部干扰，识别算法出现误识别。

　　“对于人脸识别应用来说，这是一种以前没有出现过的攻击方式，”RealAI算法人员解释道。“如果把人脸识别比作一个房间，每个漏洞的出现就相当于房间里打开了多扇窗户，而活体检测等安全认证技术就相当于一把锁。对于厂商来说，他们可能认为房间是关着的，但对抗样本的出现绝对是另一个窗口，以前完全没有被发现，这是一个新的攻击面。” 我们能抵御这种攻击吗？

　　在人脸识别应用普及的今天，人脸识别与个人隐私、个人身份、个人财产等因素息息相关。这个洞一旦被撕开，就会引发连锁反应。

　　RealAI表示，*敏*感*词*融应用，都可以通过抵抗样本攻击的方式通过认证，甚至可以在线伪造机主身份。”银行开户后，下一步就是转账了。

　　未来是否会有专门的产品和技术来应对对抗样本攻击？RealAI 的回答是必须的。并且他们研发了相应的防御算法，协助手机厂商升级。

　　“所有攻击研究的最终目标都是找到漏洞，然后应用有针对性的补丁和防御。”

　　对此，RealAI去年推出了人工智能安全平台RealSafe。他们将这款产品定义为AI系统的杀毒软件和防火墙系统，主要用于人脸识别等应用级AI系统的防御升级，帮助抵御反样本攻击等安全风险。

　　对于人脸识别技术提供商，基于该平台，可以快速低成本实现安全迭代；对于人脸识别技术应用方，可利用该平台对已经落地的系统应用，或未来采购的产品进行安全升级，加强对人脸识别技术、相关信息系统和终端设备的安全检测。

　　但人脸识别技术引起的担忧远不止于此。除了技术解决方案，漏洞的最终填补还取决于社会对人工智能安全问题的认知。

　　解决方案:看！新一代监控方案 x 统一分析平台“梦幻联动”了！

　　想在“明星监控项目”Prometheus 中可视化 Vertica 指标？感谢可爱的开源团队，这一切都成真了！

　　如果你还不知道——Prometheus被誉为“新一代监控系统”，是一个开源但完整成熟的系统监控报警解决方案，是继Google Kubernetes之后第一个加入CNCF托管的项目。

　　同时，重要的开源项目Vertica-Prometheus exporter通过vertica-sql-go驱动正式实现了两款产品的“梦幻联动”。你可以在Vertica GitHub主页上找到手册，还是别着急，慢慢往下看

　　来源⎪Amrita Akshay, Vertica Global

　　编辑⎪ Vertica中国卢

　　从指标

　　洞察力

　　GitHub 上的普罗米修斯

　　Prometheus作为业界比较知名的监控解决方案，其核心是“From Metrics to Insights”。

　　它是根据 SoundCloud（是的，您知道的音乐流媒体网站）的需求构建的，并且由于平台微服务的开发而萌芽。“极速发展”和“极度活跃的社区”，两个“反常”可以概括其主要特点——最初成立于2012年，2016年加入CNCF（云原生计算基金会），致力于打造可持续发展的云原生软件。生态系统作为目标）仅在 Kubernetes 之后；

　　作为一个独立的开源项目（即不隶属于任何公司），它每月至少保持一个版本更新。根据上图，它在 GitHub 上的活跃度非常高（45.6k 采集

，2022 年 11 月）。同时，其加入CNCF也是为了强调其独立性和开源性，明确项目治理结构。

　　

" />

　　Prometheus 的架构和生态系统组件

　　Prometheus主要将各种指标存储在一个自制的时间序列数据库中。这意味着这些指标将与时间戳以及可选的键值对（称为“标签”）同步存储。

　　借助新的 Vertica-Prometheus 导出器，您可以将 Vertica 指标导入 Prometheus 并通过仪表板可视化数据，或使用支持 Prometheus 的第三方工具查看分析。它不仅支持将数据提取到单个仪表板中，还允许用户管理与 Vertica 的连接数量，并针对真实环境优化查询逻辑。

　　由于指标是高度可定制的，您可以为多个采集

器设置不同的文件格式并选择您关心的指标。此外，抓取频率、标注方式、指标缓存、管理可视化都可以自定义。其他的，比如调整保留时间的粗日志，样本采集

器，大量文档，也是比较实用的能力。

　　GitHub 上的普罗米修斯

　　Vertica GitHub 主页提供与 Vertica-Prometheus 导出器相关的内容，包括自述文件、示例采集

器文件、配置、技巧和技术、Docker 构建、故障排除等。此处提供了各种利用导出器的最佳实践，鼓励开源开发人员为该项目做出更多贡献：

　　“

　　Vertica-Prometheus 导出器是配置驱动的，并呈现由 Vertica 数据库采集

并由 Prometheus 监控系统和支持它作为数据源的工具（例如 Grafana）使用的指标。

　　导出器使用GO语言编写，通过Vertica-sql-go驱动与Vertica数据库进行交互。核心概念基于这样的假设，即适当的 Vertica 查询可以轻松映射到 1 组标签和 1 个或多个值，最终构成有效的 Prometheus 指标。

　　我们尊重 Prometheus 的开发理念，确保 Scrape 是同步的（每次/每次测量轮询都可以采集

指标）。然而，为了将工作负载保持在合理的水平，用户可以选择为每个采集

器设置一个最小采集

间隔。请注意，当查询频率超过预先配置的间隔时，会生成缓存指标。

　　

" />

　　扫描下方二维码，直接进入Vertica-Prometheus导出器的GitHub主页。您可以通过提交有关指标采集

器的文件并提供优化见解来帮助 Vertica 全球社区和其他对该导出器感兴趣的人。

　　额外的！Vertica近期发布《开源英雄帖》，面向全球招募创新开源人才。有才就来吧！

　　Vertica-Prometheus 出口商

　　GitHub主页

　　Vertica精品资源库

　　获取免费的高级白皮书

　　Vertica大数据学院

　　引领世界分析潮流