“我好奇的是,你们从哪里拿到我的照片?”
“你的照片网上都是。”
“我……是不是稍微有点知名的人士,他的脸都可能会被用到一些不太妥当的途径和目的上?”
“对,这是判断你是不是名人的标准。”
“也是名人必须付出的代价。”
这段引得台下观众笑声连连的对话,发生在10月24日的国际安全极客大赛(GeekPwn 2020)现场。被拿到照片的是GeekPwn的老朋友、主持人蒋昌建。另一方则是GeekPwn活动创始人、比赛评委王琦。让蒋昌建付出“代价”的,是GeekPwn今年新设的两项比赛:“AI变脸口罩挑战赛”和“虚假人脸AI识别大赛”。
全新的AI安全挑战赛
10月24日上午,“AI变脸口罩挑战赛”率先开始。赛题灵感来自于现实生活:在疫情的影响下,口罩已成为出行的必备物品。那么,它能否成为极客们的破解道具?在比赛中,4支战队的选手需要戴上口罩,让人脸识别系统把自己识别成目标人物。
舞台上摆放着经过改造的自动售货机和ATM机,两台机器都加装了人脸识别系统。不同的是,自动售货机使用的是“白盒算法”,即2019年IEEE国际计算机视觉与模式识别会议提出的ArcFace算法,前两轮挑战的目标人物依次是蒋昌建、漫威人物黑寡妇。ATM机使用的则是“黑盒”算法,目标人物依次是马斯克、漫威人物美国队长。选手不知道具体的模型参数,挑战难度更高。
每轮挑战限时150秒。计时开始,4队选手们依次冲到机器前,不断调整着口罩位置和面孔角度。南都记者看到,选手们准备的口罩风格各异:有些相当写实,选手戴上后,肉眼看上去真的和目标人物有几分相似;有些则“简单粗暴”,仅仅是隐约能看出口鼻形状的像素色块。
极棒实验室负责人王海兵解释说,这是因为人脸识别系统的认人方式跟人类不一样。对机器来说,只要一张人脸的主要特征值符合后台数据,就会被判定是本人。也就是说,哪怕只是一堆像素,机器能读出特征值就行。舞台后方的大屏幕上实时显示着选手挑战的置信度,即机器“眼中”人脸特征值的吻合程度。南都记者发现,当选手戴上不同口罩、采用不同姿态时,置信度也在快速地发生变化。
由于舞台环境和光线的影响,整个比赛进展得不如预赛顺利,但还是有一支战队在ATM机前成功“化身”马斯克——系统判断置信度达标后,取钞口应时而开,一张纸片掉落在地上。蒋昌建捡起一看:“哇,美元!”观众席又是一阵笑声。
变脸与假脸识别
如果说“口罩变脸”是相对超前的科学设想,那么下午进行的“虚假人脸AI识别大赛”,要解决的则是“AI换脸”带来的一系列紧迫现实问题:电信诈骗、财产盗刷、伪造色情视频……在美国,“AI换脸”甚至已被用于选战。
2019年,Facebook、微软、亚马逊、麻省理工等知名企业、高校,曾联合发起一场针对AI换脸视频检测的挑战赛。挑战赛于今年3月31日结束,但仍然留下了一些亟待解决的问题。因此,今年的GeekPwn再度设置同类的比赛,希望帮助选手更好地调优或精简自身的训练模型,提升AI检测方面的技术突破,与各方共同推动更好的虚假人脸检测方法出现。
比赛要求选手开发AI检测方法,快速、高效地识别出图像以及视频中的虚假人脸。这些假脸由DeepFakes、Face2Face、FaceSwap、CycleGAN等AI技术或它们的变体生成。为了增加比赛的对抗性,主办方还设计了攻防环节:每队选手既要用自家的AI模型识别出其他队伍的假脸,又要用假脸骗过其他队伍的AI模型。
相较于上午的比赛,这场比赛更符合极客们的破解常态:5队选手各自守在电脑前,操作AI模型生成假脸、展开攻防——当然,表面的波澜不惊之下,是更加激烈的暗战,最终获胜的是TSAIL战队。
普通人还能安心地晒照片吗?
极棒实验室负责人王海兵告诉南都记者,以往的人脸识别破解主要在线上进行,选手们只需要通过人脸照片完成“数字攻击”。而今年的比赛中要戴着口罩去刷脸,相当于“数字攻击+物理攻击”,制约要素更多,现实环境的影响更大。
在比赛现场,蒋昌建半开玩笑地提醒观众不要随便在网上发照片,不然可能会像他一样被换脸。近几年,AI换脸信息确实越来越多,而且已经有不法分子绕过金融类应用风控机制的真实案例。在这样的情况下,普通人还能安心地晒照片吗?就此,王海兵也给出专业建议。他说,目前来看,商业人脸识别算法的可靠度和安全性还是可以的,AI换脸一般无法轻易突破。晒照片带来的家庭地址、行踪轨迹等隐私信息泄露的风险,其实远远高于换脸的风险——一个保护隐私和安全的小诀窍是不要发原图,经过压缩后,图片信息会大大减少。
“至少公众现在可以暂时放心”,王海兵说。但他也强调,对潜在风险要给予足够的警惕。“我们希望告诉大家有这样一个风险的存在,从而通过研究去避免风险的发生。否则,等到将来风险真的发生时再去认识它,可能就来不及了。”
典型案例
破解智能摄像头 耗时不到一分钟 极客坐在上海看到了北京的画面
你是否想象过这样的场景:在上海,一名极客敲打了几下键盘,就成功控制了某个在北京的摄像头,并观看到了实时画面呢?10月24日,2020国际安全极客大赛(GeekPwn 2020)在上海举行,4名极客试图在现场远程控制一个在北京的智能摄像头。挑战进行不到一分钟,现场评委就喊出了“攻击成功”。随即,选手的手机上出现了远在北京的摄像头所拍摄到的画面。
GeekPwn大赛评委、滴滴美研所安全专家王宇解释了破解的流程:智能摄像头有云端控制系统,选手通过攻击控制了系统和设备之间的接口,并用伪造的摄像头取代了真实的摄像头。他进一步举例说明,手机上有App可以监控摄像头的状态,选手就是伪造了一个类似的假终端,从而读取了摄像头的数据。而且,王宇说,选手在控制云端系统后,还能通过“枚举”的方式,去尝试攻击其他连接同一个云端的摄像头,如果是销售规模比较大的品牌,一个云端可能连接着几十万个摄像头。
近年来,摄像头的应用场景越来越广泛,除了普通人的家里,停车场等公共场合也出现了越来越多的智能摄像头,它们都面临同样的技术风险:“一些攻击可能针对的是某些敏感场所的摄像头,结合一些其他技术手段,攻击者就能从视频上采集出更多信息。”王宇说。
在过往多年的极客大赛舞台上,破解摄像头多次作为挑战项目出现。王宇认为,摄像头的安全问题层出不穷,“可能有一些老的厂商,在前几年被攻破过,已经开始注意这方面的问题。但是一些新入行的厂商还没有开始重视,哪怕之前的厂商已经改得很好了,但是新入行的厂商可能还是会把犯过的错再犯一遍,挺麻烦的。”
那么,作为普通人,我们应该怎么预防摄像头被入侵呢?王宇提醒,消费者可以在购买智能摄像头时选择更“成熟”厂商的产品,并且及时按照厂商的要求更新摄像头的软件版本。因为有时候升级是源于厂商修复了一些漏洞,“如果迟迟不升级,这个风险实际上是由我们来承担。”
采写:南都记者 冯群星 潘颖欣
