框架眼镜，一张纸，攻破19部安卓机，让人脸识别“出错”

来源：东方集成电路

30秒快速阅读

1、 此前，IT Times 曾报道称，一副框架眼镜和一张纸就可以破解 19 台 Android 机器。

2、现在，在你的额头上贴一张纸可以让 AI 完全无法识别你是谁。

3、对AI撒谎很有意思，但更有意义的是，被AI取代的假脸是可以看穿的。

一个为中国赢得18项世界纪录的项目，不久前还获得了2020年上海市科学技术奖特等奖。这个项目是《复杂场景中人物的视觉理解技术与应用》，不清楚。

人手必备的“护照”健康码是“通”的核心技术，是项目组首创的基于轻活体的远程身份验证。无需用户完成任何动作，基于真实人脸的自然反射实现智能判断，更加精准。检测人体的活体。

早在2011年，以上海交通大学特聘教授马立庄为首的团队就开始了人脸识别人工智能技术的研究。该团队联合上海计算机软件技术开发中心、华东师范大学，攻克了多个人类视觉理解的复杂场景。技术挑战。

其中，最近成立人工智能治理研究院的上海计算机软件技术开发中心也在进行人脸识别人工智能技术的研究。“人脸识别有很多细分技术，未来我们的方向是做深度人脸安全。” 上海计算机软件技术开发中心人工智能治理研究所执行所长陈民刚表示。

上海市计算机软件技术开发中心人工智能治理研究所

01 逆袭，让人脸识别“误入歧途”

2月2日，本报报道《安卓手机人脸识别易受攻击：一副框架眼镜，一张纸，破19台安卓机》中提到，测试人员A打印出自己的眼睛照片并贴出来。在框架眼镜上，测试者B可以通过戴上眼镜来破解A的Android手机的屏幕锁定。

原理是该算法存在“对抗样本”漏洞：攻击者通过算法利用受害者的照片在眼睛中生成“干扰图像”，再加上干扰图像，可以逼近被害人的特征。受害者并打破人脸识别模型。

来源：受访者

在 CVPR (IEEE International Conference on Computer Vision and Pattern Recognition) 2019 论文《Efficient Black Box Adversarial Attack Algorithm for Face Recognition System》中，使用相同的人脸识别模型来识别两张看起来一模一样的人脸图像，但是，结果是克林顿在左边，布什在右边。原因是右边的人脸区域添加了人眼无法检测到的恶意噪声，专门用来欺骗人脸识别模型。

正常人脸图像（左），对抗人脸图像（右），来源：网络

在自动驾驶中，出现对抗性攻击的情况甚至会导致安全隐患。应该触发停车的STOP标志经过特殊处理会被误识别为限速标志。

来源：《自然》

这种利用深度学习的弊端破坏识别系统的方法统称为“对抗性攻击”，即对识别对象进行特殊改动，人眼看不到任何异常，但会导致识别模型失败，而对抗性攻击会导致“不是我，但通过了识别”，这也会导致“我是我自己，但没有通过识别”的结果。

2019年，莫斯科国立大学和华为莫斯科研究中心的研究人员发现了一种应对人脸系统攻击的新方法——AdvHatai处理对象外观时出错，它让广泛使用的人脸识别模型Arcface不再“可靠”，并用普通打印机打印出来。贴在额头上的带图案的纸币可以让 Arcface 系统识别错误。

资料来源：“AdvHat: Real-world adversarial attack on ArcFace Face ID system”论文

“在脸上贴贴纸和戴上眼镜都是模拟对抗样本的方法。与‘一副眼镜打破安卓机’不同ai处理对象外观时出错，AdvHat并没有遮挡面部特征。‘一副眼镜’是有针对性的攻击（识别为其他人）），AdvHat 是一种非目标攻击（无法识别为该人）。” 正在研究人脸检测识别系统对抗攻击的上海软件中心人工智能治理研究院研发工程师马泽宇向记者还原了AdvHat对抗算法实验。

他首先将人脸输入到人脸识别模型中。当他没有戴任何障碍物进行识别时，相似度接近1。戴上帽子后，相似度变为0.87，仍然可以通过人脸识别。. 之后，他在帽子边缘贴了一张手机大小的白纸，相似度还能达到0.79，但当他通过算法，然后将图像打印在纸上当补丁贴到边缘时，相似度下降到0.49，未能通过人脸识别。

来源：受访者

马泽宇告诉《IT时报》记者，对抗性攻击主要用于数字领域和物理世界。“数字世界更倾向于让对抗性攻击样本与原始图像绝对相似，在像素级别上与原始图像没有太大区别，但需要扰动，其特点是‘范围广、扰动小’。判断为皮肤癌，在现实世界中，神经网络经常会受到贴纸、贴片等的攻击，贴片和贴纸的颜色并不要求与背景相似，而是贴图的面积不宜过大，扰动的特点是“范围窄”，扰动大，例如，

02 换脸识别，让人脸假“现身”

在电影《星球大战外传：侠盗一号》中，迪士尼使用动作捕捉技术让特技演员在一段需要重现 40 多年前《星球大战》中莱娅公主外貌的片段中表演。

不过很多星战迷觉得剪辑还原失败，公主的表情僵硬。YouTube 上的一位用户使用 DeepFake 技术制作了相同的剪辑，并上传了与原始电影的对比视频。公主的容貌和表情看起来比原片更自然。

以 DeepFake 为代表的 AI 人脸篡改技术可以给真实带来假的效果，但 AI 换脸也带来了伦理问题。

“人脸伪造需要识别出人脸的一些特征点，然后进行替换。目前网络上流传的视频大多，分辨率低，很多精细特征会丢失。” 敏捷说道。针对这一特点，他与国际先进的人脸伪造识别算法MesoNet进行了研究。

MesoNet 是一种使用深度学习来检测假人脸的方法，特别是针对 DeepFake 和 Face2Face 假图像。

MesoNet 演示视频，来源：网络

对于分辨率较低的互联网视频，MesoNet 可以使用参数较少的神经网络直接处理图像。

丁继杰从DeepfakeTIMIT数据集中下载了一个换脸视频，逐帧抓拍一张图片，上传到按照开源代码编写的软件中。系统显示“这张图片是真人脸的概率”只有16.5%。

来源：受访者

他又从网上下载了一张实拍图，这次的概率变成了99.99999%。

来源：受访者

与 MesoNet 相比，Face X-Ray 是微软亚洲研究院在 CVPR 2020 上提出的一种假人脸识别方法，其最大的突破是可以用于未知的换脸算法，还可以告诉你换脸的范围。

来源：“Face X-ray for More General Face Forgery Detection”论文

实验结果表明，Face X-Ray 在检测其他未知伪造算法方面也有很好的表现。例如，对于未经训练的换脸算法，其他检测方法的准确率只有 39%，而 Face X-Ray 可以达到 98%。

Face X-Ray除了可以预测人脸图像伪造的概率，还可以显示人脸拼接的范围。图像中只要有换脸，就一定有换脸边界，而Face X-Ray可以检测并绘制出这个边界，就像拍X光一样。

来源：“Face X-ray for More General Face Forgery Detection”论文

“Face X-Ray会识别特征点，然后进行人脸欺诈的图像拼接处理。在识别真假之前，首先找到拼接范围。它分为两个步骤。第一步是将图片输入到卷积神经网络中。网络并输出拼接。第二步，这个区域被输入到另一个全连接的神经网络中，以识别真伪。丁九奎说道。

“人脸篡改识别具有很大的研究价值，尤其是可解释的人脸篡改识别，可以大大提高人工智能的安全性和实用性。” 丁九奎说道。

作者/IT时报记者钱一云

编辑/潘少英被踢

排版/黄健

图片/采访主题，东方IC，《自然》，Face X-Ray，互联网

来源/《IT时报》公众号vittimes

上海红通讯最美打孔师评选

上海与中国红通信有着不解之缘。

在这里，我们党的第一台收发器研制成功；第一个秘密广播电台成立；建立党的第一个无线电培训班；深度访谈报道了与上海红色通信历史相关的10个地点。

现在，Kicked Girl 诚邀您前来合影留念，为派对的百岁生日留下最美好的祝福。

活动时间：即日起至6月30日24:00