人臉識別黑科技正式入侵,消亡還是甦醒?人工智慧測試勢不可擋!

博為峰網校發表於2019-06-28

摘要:當前,人臉識別技術已經在諸多領域取得廣泛應用,但其風險也一直為外界關注,尤其是對風險容忍度較低的金融行業來說,使用者驗證環節如果出現漏洞,就可能造成巨大損失。本文將以一個專案例項出發,分享在測試人臉識別技術時遇到的問題和取得的經驗,並對如何測試人工智慧提出幾點思考。

人臉識別黑科技正式入侵,消亡還是甦醒?人工智慧測試勢不可擋!

人臉識別技術測試例項——從一個專案談起

近期,我司測試部門在承接某專案時,發現了該專案在使用者活體驗證出現的一個業務安全漏洞。活體驗證是該專案服務流程中的一個必經步驟,驗證的方式是由使用者以手機裝置錄製閱讀隨機數字的影片,與後臺人臉資料比對後,判斷當前操作使用者是否為本人。在此環節,測試人員發現,透過在電子裝置上進行圖片翻拍和影片翻拍,非本人也同樣能夠透過該驗證。隨後,專案組聯絡活體驗證技術提供方,調整相關引數,又進行了人臉識別的專項測試,但在該專項測試中仍有一定比例的靜態圖片攻擊成功,騙過模型。鑑於測試結果,專案組經過研究討論,決定該專案延期投產,集中解決人臉識別模型相關問題。

常用人臉識別/活體檢測技術簡介

人臉識別是人工智慧領域應用較為廣泛,發展也相對成熟的技術。靜態的圖片人臉識別安全性較低,因此多采用活體檢測技術,下面對常見的活體檢測技術進行介紹。

動作配合式活體檢測:演算法給出隨機動作指令,使用者配合完成動作,如點頭、眨眼、搖頭、唇語等,該類演算法當前應用最為廣泛。

靜默活體檢測:顧名思義,相較動作活體檢測,靜默活體檢測不需要使用者進行配合動作,而是讓使用者正對著攝像頭幾秒即可完成檢測,其檢測的要素包括了眼皮和眼球的律動、面部肌肉的收縮等。

紅外活體檢測:即利用紅外成像原理進行活體檢測,該演算法安全性較高,但需要額外配置紅外攝像頭。

3D結構光活體檢測:能夠根據反射光線識別3D的人臉結構,安全性較高,但需要深度影像鏡頭模組配合,目前只在部分高階旗艦手機上有所配置。

常見人臉識別攻擊方式簡介

在對人臉識別/活體驗證環節的測試過程中,測試人員嘗試了多種攻擊方式,從介質上分類,基本的思路包括圖片攻擊和影片攻擊。

圖片攻擊:即以靜態圖片欺騙人臉識別演算法,應用於靜態圖片人臉識別。圖片展示介質包括了電子螢幕(考慮不同解析度,不同成像原理的電子螢幕),紙質圖片(彩色和黑白)等。

人臉識別黑科技正式入侵,消亡還是甦醒?人工智慧測試勢不可擋!

圖1基本的照片攻擊方式,看看我是誰?

影片攻擊:翻拍或製作影片以欺騙人臉識別演算法,主要用來對動作配合式活體檢測進行攻擊。最直接的攻擊方式為播放對應客戶本人預先根據指令而錄製的短影片,但現實中偽造成本較高。隨著影像處理技術、人工智慧技術的發展,出現了一些根據靜態照片生成動態影片的軟體,僅需要一張人像照片,就可以生成該人像搖頭、點頭、眨眼,甚至閱讀各種文字口型的影片。

人臉識別黑科技正式入侵,消亡還是甦醒?人工智慧測試勢不可擋!

圖2使用軟體生成了彥祖讀一串數字的影片,右下為原圖

考慮上述兩種攻擊方式,準備的影畫素材通常需要依賴電子螢幕作為介質進行輸出,這就可以透過識別摩爾紋等方式進行判別。而單純的靜態圖片人臉識別應用場景也較少。下面介紹兩類進階的攻擊方式。

實體攻擊:該攻擊方式的形式較為多元化,主要思路是避免將電子螢幕或者單純的平面照片作為驗證影像展示方式。例如,列印一張人體照片,將照片按照一定弧度彎折,配合活體驗證指令活動,對於向眨眼這樣的指令,可將照片的眼部影像減掉,非本人的真人在後方配合眨眼。而較為高階的攻擊方式還包括了製作3D臉部模型等。

人臉識別黑科技正式入侵,消亡還是甦醒?人工智慧測試勢不可擋!

圖3半張臉攻擊

人臉識別黑科技正式入侵,消亡還是甦醒?人工智慧測試勢不可擋!

圖4扣嘴攻擊

應用破解/注入攻擊:該攻擊方式需要一定技術手段,思路包括埋點監測人臉識別觸發流程,修改程式繞過該步驟,或抓包後重組資料包文,將前述圖片攻擊和影片攻擊中準備的影響不透過其他介質轉錄,直接傳送給後臺,以及修改報文中的閾值等關鍵指標後再進行檢驗等。

淺談如何測試人工智慧軟體

人工智慧軟體的測試,可以分為兩個部分:一,對軟體的測試。二,對演算法的測試。而本次測試的特殊性就在於對演算法的測試。

對於測試人員來說,由於當前最廣泛應用的深度學習演算法(神經網路)是一種黑盒演算法,測試人員難以像傳統的功能測試一樣提出規則性的功能缺陷,且缺陷難以穩定復現,因此測試人員最終所提供的測試結果往往是提供正向及反向用例的透過率,作為參考。

儘管演算法的開發人員在建模時就需要輸入大量的訓練集與測試集,同時也需要評估大量的模型相關指標,但測試工作仍然是不能缺位的:開發人員更注重模型的正向透過率,而對多樣性的反向場景設想不足。這就需要測試人員發揮想象力,提供更多反向場景。其意義在於,一方面對於演算法較易失效的場景採取更加針對性的模型訓練。另一方面,即便是黑盒的神經網路演算法,也能夠根據反向用例反推模型各個路徑的權重,對模型引數調整提供參考。

另外,對於人臉識別演算法,通常還要關注模型相似性閾值,即相似度大於X%後判定透過。該值過高,則增加了攻擊透過的風險,該值過低,則會造成正向透過率偏低,影響正常使用者體驗。而採用何種閾值,還需要專案組權衡了風險和收益之後,綜合考慮後決定。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31407649/viewspace-2649105/,如需轉載,請註明出處,否則將追究法律責任。

相關文章