文章|四月简介:这注定是一个不寻常的夜晚。
各个公关公司的公关机构都准备好了自己的计划……却万万没想到,带头尖端技术团队的竟然是这家公司。
是的,受到央视青睐的企业将承载明年媒体的热点话题和素材来源。
一、放下枪口的过程 虽然央视第一枪瞄准了《互动百科》来吓唬猴子,但仍然感觉还是没有击中要害。
“我只占百科市场的1%,你拿我当模特,是为了让我出名吗?”或许,这就是互动百科的声音。
接下来的近90分钟,晚会主要围绕农林牧渔等贴近民生的日常话题……然后焦点来了。
主持人首先讲到大家都喜欢在微博、微信等社交平台上发自拍照(感觉腾讯公关的心停了一秒)。
随后,主持人演示了如何通过技术处理为一张普通照片添加眨眼、动嘴等动态效果,并选取了现场一名年轻人的照片与自己的实时图像合成。
主持人还不忘补一句,称这样的照片合成技术“用P图软件几分钟就可以完成”。
登录某常用APP的人脸识别界面后,界面与阿里巴巴旗下支付宝相似度高达90%以上。
主持人演示了如何通过应用程序使用合成动态照片、合成动态图像进行身份识别,并通过刷脸成功登录账户,暴露安全风险。
作为支付宝人脸识别背后的技术提供商,由于之前马云站台、高层融资、大牌加盟等公关事件,大家都已经熟悉了它的名字——旷视科技Face++。
当然,央视并没有正式点名该公司,业内不少人脸识别技术公司也难逃质疑。
2、背后技术解读 一般来说,市面上大多数采用人脸识别技术的APP的识别流程包括以下几个步骤:人脸检测→活体检测→人脸比对(与之前上传的自拍照或证件照)→分析比较结果 → 返回结果(通过或失败)。
所谓活体检测,是指用于人脸防伪的方法。
一般以用户的眨眼、张嘴、点头、摇头、微笑、眼球运动等动作作为防伪线索。
存在的漏洞是难以防范真实视频或合成视频,例如3D模型或换脸算法、3D头饰、合成照片或视频等。
需要明确的一点是,当人脸识别应用于金融身份验证领域,通常用作交叉验证以增强安全性。
应该还有其他的验证方式,与人脸识别形成多重验证。
也就是说,人脸识别技术只能作为数字密码之外的辅助验证手段,通常需要与虹膜识别、声纹识别、红外活体识别等方法配合使用,以提高其安全性。
3. 假肢攻击可以预防吗?对于央视春晚现场演示以及人脸识别技术存在的安全隐患,知喜喜记者立即联系了多位业内权威人士。
针对记者提出的关键问题,中科院计算机视觉著名研究员单世光(现已创业“中国视觉”)、百度深度学习实验室(IDL)主任林元庆、周恩来等回答了记者提出的关键问题。
中科院重庆研究院多媒体中心主任席(现正在创业的“云从科技”)、商汤科技CEO徐立博士、格林深圳创始人兼CEO赵勇博士童等给出了答案。
问题包括:1)如果动态照片也能成功合成和识别,如何利用现有技术和措施来防范? 2)这种照片合成或者动态图像合成技术难度大吗?相应的移动应用是否存在安全隐患? 3)从业者如何看待这个问题?分享自拍照真的会损害隐私吗?评论如下: 单世光老师表示,由于昨晚没有关注3.15晚会,所以无法分析单个案例。
但从研究角度来看,在人脸识别技术研究领域,对人工假肢等攻击方式的关注早在多年前就开始了。
假冒攻击手段包括常见的打印照片、利用iPad或电脑屏幕、幕布投影等视频来欺骗系统。
林元庆博士表示,将人脸活体检测应用落地到产品中还存在一定难度,但目前的技术成熟度已经可以检测假体攻击。
他分享了乌镇世界互联网大会安检口的视频,使用的是预先录制的真人视频,由于系统识破而不允许通过。
他表示,这是百度人脸识别首次在境外部署。
“所有录制的真人视频都可以被识别,录制的合成图像视频更容易被我们的系统识别。
”周曦博士表示,从防范攻击的角度来看,Face2Face将模拟视频传输到应用软件需要非常高的技术手段。
但直接通过视频或者图片攻击,完全可以通过目前的红外线或者一些体内动作判断手段来识别。
(注:Face2Face是2018年CVPR大会前夕宣布的“实时人脸捕捉与重演”技术,它不仅是第一个可以实时进行面部变换的模型(之前的都有更多或延迟更少),并且准确度和真实度比之前的模型高很多)对于手机这样的设备来说,成本和易用性更为重要。
团队采用前端手机动作体与后台攻击检测技术相结合的解决方案,避免了纯动作体的缺点,在保证低成本的同时提高了防范攻击的能力。
对于追求安全的场景,还采用红外双目活体检测技术,有效避免视频、照片、模型等各种攻击。
赵勇博士表示,理论上任何动态图像都可以合成成功,只是难度不同。
我不同意制造商目前采用的动态人脸验证流程,这种流程更容易受到合成欺诈的影响。
徐立博士认为,如果要应用于工业级人脸识别攻击,即使是类似Face2Face的技术也仍然存在重大局限性:模仿者无法改变视频中的头面部动作,被测试者需要主动执行动作(例如,左右转动人脸),商汤科技的系统会在第一时间防止模仿用户;它还支持估计人脸眼睛注视的位置并分析面部纹理,足以区分模仿视频。
一家从事人脸识别的第三方技术供应商从产品设计的角度对如何规避人脸识别技术的安全风险提出了三个想法:1、当然是继续提高人脸识别系统的技术水平2。
在技??术方面,当水平还没有达到一定水平时,人脸识别只能作为辅助功能。
在涉及隐私和财产安全的操作中,不要过度依赖新技术。
人脸识别可以用在一些轻量级的场景中。
3、想要安全就需要提高验证门槛。
例如,人脸识别可以与声纹、指纹等其他生物识别技术相结合,但这不可避免地会对用户体验造成一定的损失。
此外,他还透露,聚会上最终突破图像技术的人脸识别系统来自技术团队(感觉不像主持人说的“P图软件”那么简单)。
4、其他受到牵连的玩家“已经被央视的断头台扫掉了,连一根草都长不出来了”。
虽然有点夸张,但是华丽的现场演示对整个行业的负面影响是必然存在的。
毕竟,从以往的宣传来看,Face++的技术实力在业内排名靠前,拥有良好的口碑。
接下来我们看看这个行业还有哪些玩家? 1)A股“人脸识别”概念股 以下为股票软件筛选自认人脸识别”概念股:2)以及“桶汤”(依图、格灵神通、旷视科技、商汤科技)、云从科技等新兴创业公司业内还有阿里巴巴、百度、腾讯等大力推动该技术的应用和研发。
5、请少用花招。
“事实上,普通人破解面部识别技术的门槛还是相当高的。
是的,但是因为有技术团队破解了,所以风险是存在的。
这也会造成用户的不安全感。
”目前,自拍、证件照等人脸信息完全是公开信息,像3.15晚会现场示威那样利用个人照片合成进行攻击并非空穴来风。
通过央视的这一轮宣传,至少让大家强化了认识:“生物识别再强大,也只能作为辅助工具。
” “密码仍然是保证账户安全不可或缺的手段。
”开启Surface的人脸识别还需要红外摄像头的辅助。
直接使用手机前置摄像头支付宝显然不够安全。
节目曝光后不到十分钟,阿里公关就在微博上发布了一份名为《你们都觉得我躺枪了吗?》的公关稿,确实是做好了充分的准备。
旷视科技等相关厂商随后给出了“官方解释和回应”。
但在明眼人看来,这些解释显然是不真诚、冷漠的。
正如一位网友所说:“支付宝只说了‘不用担心’,但在回复中并没有明确表示聚会上演示的不是支付宝的人脸识别漏洞。
所以支付宝请正面回应:是你的应用吗?”是在聚会上暴露的吗?”和技术(如果我们希望促使支付宝正视这个问题,我们需要更多的支持)。
除了央视演示界面与支付宝极为相似外,还存在以下三个疑点:1)支付宝的回应中,只谈到了如何做。
“活体检测”,其实所谓的眨眼、微笑都是活体监测的一部分。
监控并不意味着可以预防。
支付宝强调,人脸识别只是风控环节之一,相当于说这个环节已经被攻破,还有其他的保障,怀疑这部分安全存在漏洞。
2)支付宝表示,如果用户因人脸识别漏洞而遭受损失,将对此类事故进行全额赔偿,或者支付宝知道这种情况确实存在。
漏洞。
3)此外,支付宝的人脸识别应用实际上使用了Face++技术。
Face++的技术已经应用于很多领域。
该漏洞的风险也需要Face++明确。
” 6、结论 央视3.15晚会曝光后,我们看到行业从上到下平静了很多。
此前,各家公司在描述人脸识别技术时,都大方地赞叹和愿景。
业界大力追求识别精度和高端应用场景。
但就在一夜之间,大家开始小心翼翼地加上“补充手段、辅助手段”之类的前缀。
同时,此类事件也暴露了学术研究与产品实施之间的跨度和难度。
在理想的测试环境下,科学家们不难得出漂亮的数据和结果。
然而,当研究成果应用于实际复杂多变的应用场景时,许多环境参数和测试方法需要调整和优化。
这个过程也需要很大的耐心和精力。
“生物识别再强大,也只能起到辅助作用。
如今,密码仍然是保障账户安全不可或缺的重要手段。