指紋鎖就安全了?防火防盜還得防AI

AI科技大本營發表於2019-02-26
AI

640?wx_fmt=jpeg

 

整理 | 一一

出品 | AI科技大本營(ID:rgznai100)

如何挑戰百萬年薪的人工智慧

 https://edu.csdn.net/topic/ai30?utm_source=csdn_bw

 

 

近日,你應該看到了社交媒體上對於網站 ThisPersonDoesNotExist.com,生成無數不存在人臉的鋪天蓋地的訊息,以及楊冪換朱茵的假臉影像。一方面,這說明,AI 技術的火正從專業人士那裡不知不覺發展到了頻繁上熱搜的時期,但另一方面強勢的 AI 技術發展帶給了大眾更大的恐慌情緒。

 

640?wx_fmt=gif

(有人用 deepfake 將朱茵在《射鵰英雄傳》中黃蓉的形象,換成了楊冪的臉,看上去毫無違和感)

 

從假人臉、假人聲到假訊息,AI 利用來自人類世界的資料集,正在創造一個以假亂真的模擬世界。

 

從人類的視角來看,AI 技術帶來的這些前所未有的創造力是一種威脅,是為“假”,但換個角度,AI 正在創造的“模擬”人類資訊世界,可能正給人們帶來在面對未來時更大的困惑和不安全感。

 

在這裡要重申:AI 正在創造一個獨特的虛擬(虛假)資訊世界。

 

除了眾所周知的 Deepfake 這樣的換臉技術外,今天要介紹的是與人們息息相關的指紋,它被廣泛應用於指紋鎖、手機、安檢等應用場景中,有極高的安全等級。但如今指紋也開始能被 AI 技術“複製”了,由 AI 合成的指紋能輕鬆騙過識別的掃描器。

 

這個叫 DeepMasterPrints 的系統,確實像是跟 Deepfake 來自同一個世界,在由 AI 創造太過逼真的事物上,業內人士一般都喜歡加個字首“Deep”。

 

DeepMasterPrints 系統由紐約大學工程學院的 5 位研究人員開發,其研究於去年 10 月在洛杉磯舉行的生物測量學會議上發表,主要可以用人工智慧來製作虛假的指紋,它可以以假亂真,輕鬆“騙過”生物識別掃描器(或人眼)。

 

研究人員稱,DeepMasterPrints 在一個系統中複製了 23% 的人類指紋部分,錯誤率為千分之一。而當錯誤匹配率達到百分之一時,DeepMasterPrints 能在 77% 的情況下模擬真實指紋騙取掃描器的“信任” 。

 

640?wx_fmt=png

左圖是真實指紋,右圖為 AI 合成指紋

 

這些合成指紋在“騙”過存有許多指紋的系統時可能很有效(不同於你手機中的指紋記錄,它可能只記錄了幾個數字),DeepMasterPrints 開發的工具進行執行幾個假指紋,通過系統檢視是否有任何指紋與任何使用者賬戶匹配。攻擊者可能通過反覆試驗獲得更多成功的機會,類似於黑客對密碼進行暴力或字典攻擊的破解方式,不是通過系統執行數百萬流行密碼的軟體。

 

具體而言,其背後的技術原理是,通常研究人員採用兩種生成對抗網路 GAN 組合在真實影像中使用,其中一個神經網路,使用公開、可用的指紋影像,訓練神經網路識別真的指紋影像,然後用另一套神經網路,訓練建立生成偽造指紋。

 

研究人員解釋,可以將第二個神經網路的假指紋影像輸入第一個神經網路中以測試模擬程度。隨著時間的推移,第二個神經網路則會“學習”生成逼真的指紋影像,最終騙過人眼和掃描器。

 

DeepMasterPrints 正是利用了生物識別指紋系統中的兩個缺陷。首先,大多數指紋識別儀器在掃描時不會對整個指紋進行掃描,而只是對指紋的一部分上進行匹配;其次,多數裝置允許使用者提交多個指紋影像,匹配其中任何一部分,便可以確認使用者身份。這使得由 AI 偽造的指紋更容易騙過指紋掃描器。

 

640?wx_fmt=png

帶有訓練網路的潛在變數演化。左邊是 CMA-ES 的高階概述,右邊的方框表明如何計算潛在變數。

 

這樣一個系統是如何建立的?根據論文描述,為了開發 DeepMasterPrint,研究人員將生成器的潛在變數演化為最優值。生成器的輸入稱為潛在變數,因為它們對網路輸出的影響只能通過觀察到的影像來進行理解。由於網路以 100 個潛在變數作為輸入,那最優解是 100 維空間中的一個點。

 

 

如上圖所示,LVE(Latent Variable Evolution,潛在變數演化技術) 對這些點進行取樣,將它們轉換為影像,然後對影像進行評分,以瞭解最佳點隨時間的分佈情況。這些最佳點是 DeepMasterPrint 的基因型,然後可以對映到影像上。

 

 

LVE 可以使用任何進化演算法(或其他隨機全域性優化器)來搜尋潛在空間。進化演算法不需要梯度,因此這是黑盒優化的理想方法。在這個域中,匹配器可以報告匹配了多少身份(不同的指紋)以及相應匹配率,至於如何得到這些結果的卻並不提供任何資訊。

 

梯度沒有顯示 DeepMasterPrint 的哪個畫素效果最好或最差。由於 LVE 的適應度得分是身份匹配的數量,因此適應度景觀(fitness landscape)是不連續的。由於卷積網路的層次性,潛在變數也是不可獨立分離的。

 

(論文傳送門:https://arxiv.org/pdf/1705.07386.pdf)

 

研究人員的這篇論文像是給了黑客破解指紋鎖的密碼,但他們告訴 Gizmodo,如果沒有驗證生物識別是否來自真人,很多這些對抗性攻擊都有可能發生,希望他們的研究能加強指紋安全工作,推動生物識別感測器中的活體檢測。

 

不過,AI 技術的兩面性在於道高一尺魔高一丈,不知道潘多拉魔盒完全開啟後,還會如何“解鎖”當下的物理世界,給人類更大的意想不到的震撼。

 

相關連結:

https://www.engadget.com/2018/11/16/ai-fingerprints-biometric-scanners/

https://www.theguardian.com/technology/2018/nov/15/fake-fingerprints-can-imitate-real-fingerprints-in-biometric-systems-research?CMP=fb_a-technology_b-gdntech

 

(本文為 AI科技大本營整理文章,轉載請微信聯絡 1092722531)

 

群招募

 

掃碼新增小助手微信,回覆:公司+研究方向(學校+研究方向),邀你加入技術交流群。技術群稽核較嚴,敬請諒解。

640?wx_fmt=jpeg

推薦閱讀:

                         640?wx_fmt=png

點選“閱讀原文”,檢視歷史精彩文章。

相關文章