人脸识别安全面临三重挑战

疫情期间，口罩成为人手必备用品，即便在高铁、飞机上也得时刻戴着。不过这也带来了一些困扰，戴着口罩导致无法“刷脸”解锁手机，车站闸机口如果采用的是“人脸识别”通道，则需要需要摘下口罩才能完成，一定程度上加大了感染的风险。

此前，国外一位产品设计师 Danielle Baskin 发布了一款带有面部信息的口罩， 带着口罩也能用 Face ID 解锁手机 。简言之就是，通过提取用户被口罩遮挡部分的面部信息，然后印制到口罩外侧，戴上后拼凑成完整的脸部。

虽然，Danielle Baskin 也在 Twitter 上坦称，认证成功率目前还在测试当中。但消息发布后，不少人对人脸识别的安全性再次产生了怀疑，如果他人戴着印有自己面部信息的口罩去解锁手机，能否解锁？

人脸识别作为人工智能领域的一大热门方向，适用范围逐年越来越广。无接触式的人脸识别方式极大地方便了人们的生活，只需要有摄像头，便可以在几秒甚至零点几秒内完成出入、支付等身份认证。

但是，人脸识别的安全性究竟如何呢？

那些被偷走的人脸数据

人脸识别在人们日常生活中的应用，最早是作为一种更加便捷高效的认证方式替代指纹认证。相较于指纹，人脸识别的无感解锁、无感支付使用户体验更加顺畅，由此获得了前所未有的关注。

但值得警惕的是，当我们授权某个人脸解锁场景时，往往可能将我们的面部信息与姓名、手机号、身份信息甚至家庭住址做了绑定。这就意味着， 一旦我们的人脸信息被泄露，我们其他的绑定信息也可能随之被盗用 。

1 月 18 日，据《纽约时报》报道，美国一家 AI 面部识别创业公司 Clearview 设计了一款人脸识别应用程序 Clearview AI，通过拍摄陌生人的照片，然后将其上传，就可以轻松查看该人的公开照片，以及指向这些照片出现位置的链接和具体内容。

这项“照片搜人”的应用其实早已不是新鲜事，早在2016年，俄罗斯初创公司FindFace就支持通过照片和Vkontakte（类似于Facebook的俄罗斯社交网络）的个人资料照片进行匹配，仅凭一个人的照片，就能找到陌生人在社交软件上的账号。

虽然这个应用宣称可以帮助“和陌生人建立友谊”。但是问题在于， 通过人脸识别系统的每一张人脸特征都被收录进系统后台的人脸信息库，这是一个庞大的信息库 。

如果FindFace不合理使用这些拥有不同维度人脸信息库里的数据，比如学校档案、企业客户列表、大楼进出人员信息、商场顾客行踪等等，将有可能引发 恶意骚扰、人肉等威胁事件 ，人脸识别技术对我们隐私的侵犯或许让人无法想象。

而且，在如今 “信息即财富” 的时代，庞大的人脸信息库早已成为不法分子盯上的一块大蛋糕。上文提到的人脸识别初创公司Clearview AI近日被曝出遭到黑客攻击，其合作的600多家执法机构和银行信息全部被窃取。

类似事件在国内也早有发生，2019年2月，GDI基金会的荷兰安全研究员曝光国内某人脸识别公司发生大规模数据泄露事件，超过250万人的数据被获取，680万条记录泄露，其中包括身份证信息、人脸识别图像及捕捉地点等敏感信息。

可以猜想，如此规模的信息被泄漏，不法分子可以轻而易举实施大规模监控、定点犯罪。而作为当事人的我们，却浑然不知。

图像“补丁”轻易攻破识别算法

我们知道在人脸识别应用场景中， 人脸图像扮演着“密码”这一角色，密码可以“破解”，人脸也不例外 。

伴随着人脸识别技术广泛应用于刷脸认证、刷脸支付等场景，各种破解人脸识别系统的新闻不断涌现。

iPhone X搭载的3D结构光活体检测被称为当前安全系数最高的人脸识别检测技术，但2017年，一家越南公司通过 3D 打印面具成功骗过了苹果的Face ID，实现了解锁。

由于成本原因， 目前市面上使用的人脸识别系统大多并非3D结构光活体检测，而是2D静态检测或者加上动作验证 ，所以我们经常能够看到诸如丰巢“刷脸取件”被小学生用打印的照片破解、智能防盗门被合成视频破解等新闻。

从成本方面考量，3D打印面具的破解方式较复杂、成本过高；从破解率来看，“照片骗局”无法通过活体检测。

近年来机器学习领域兴起另一种热门方法—— 「对抗样本」 ，通过添加肉眼察觉不到的噪音欺骗神经网络，让识别系统出错，是一种诱导识别算法的图像“补丁”。

2019年，华为莫斯科研究中心的研究者们用打印机打出一张带有图案的纸条贴在额头上，就让某些公开的 Face ID 系统识别出错。

在此之前，RealAI安全研究团队也同时实现了基于对抗样本技术破解人脸解锁的案例。 不同于华为团队破解公开系统，RealAI团队在商用手机上成功实现破解，攻击难度更上一个台阶，是世界范围内首个在现实世界中实现黑盒攻击的团队 。

如果说手机人脸解锁被破解仅仅可能是侵害隐私或者损失金钱，那自动驾驶识别系统如果被攻击，付出的代价可能是生命。

来自全球最大的安全公司之一McAfee的两位研究人员，在35英里/小时的速度标志，贴了一条2英寸的黑色胶带，略微拉长了数字“3”的中间，直接误导特斯拉的自动驾驶系统从35英里/小时加速到了85英里/小时。

腾讯科恩实验室也曾于2019年4月发布研究报告，研究人员在路面上粘贴三张贴纸来模仿合并条带，使特斯拉自动驾驶汽车拐进逆行车道。

「对抗样本」方法的实现成本仅仅是打印一张纸，但却能让识别系统发生灾难性的错误。一旦相关技术像Deepfake一样被大规模滥用，罪恶因子可能就此被埋下。

非刚需的人脸识别应用泛滥

广阔的市场前景让人脸识别行业受到资本追捧的同时，也引来了众多科技企业的争相探索。为了扩大并快速抢占市场份额，不少企业“开荒辟土”，为人脸识别的落地开拓出众多全新场景。

但就如专家表示，现在的人脸识别技术并没有很完美， 一些人脸识别的应用效果未及预期 ，这就导致人脸识别在一些非刚需场景上的应用存在争议。 “应用为先，安全第二” 的落地标准更是让安全风险暴露无遗。

比如人脸识别在“智慧校园”的应用。目前国内多所高校陆续在校门设置人脸识别闸机，抛开设备的经常性故障、受光线影响等问题， 现阶段多数人脸识别闸机为了保证快速落地应用，搭载的识别算法主要是平面的图片对比，并没有按照真人的生物特征去进行运算，安全级别低 。

另外还有在隐私侵犯边缘试探的应用，比如高校教室里安装人脸识别系统对学生课堂听讲情况的全程监控，任何动作都都逃不过人脸识别系统的“法眼”。 这不仅侵犯学生的个人隐私，背后的信息去向更为人担忧 。

目前很多高校信息化程度高、信息化意识也较强，拥有自己的数据中心，校内的识别系统采集到数据会存储在学校的服务器。但如果是普通的幼儿园、小学等单位， 数据有可能是被存储至厂商处，最终数据会流向何处难以得知 。这些单位往往只是觉得人脸识别是比较流行的一种方式，但对背后的信息安全缺乏概念。

而且从应用效果上来看，人脸识别应用最为广泛的门禁“刷脸”也略显鸡肋， 识别准确率低，容易出现“认不出人”的问题 。一些“智慧幼儿园”在家长接送孩子入园环节启用“刷脸”门禁系统，但这貌似并且没有给老师带来安全感，现阶段人脸识别设备可靠性低，让不少老师担心接孩子的时候出现冒领的风险。

显然，当前的人脸识别的很多应用尚处于“尝新”阶段，还不能做到非常成熟， 超出需求本身的大范围应用增加了发生安全风险的概率 ，一定程度上加速了安全问题的显露。

虽然目前人脸识别距离安全还有一段距离，但我们不能一口否定技术发展，矫枉过正也只会限制技术发展。技术没有绝对完美的，但好在技术始终在迭代。

当然， 安全问题也不完全是技术问题，也是应用问题 。未来，还需要行业、企业、政府等协同努力，寻找隐私、安全、便利之间的平衡，明确人脸识别的边界，真正地为人脸识别应用发展出“安全感”。