“刷脸”到底安不安全?人脸信息储存在哪里?你担心的问题看这里
··
如今,看一眼智能手机,就能自动唤醒屏幕,刷脸解锁,很多人都习惯了不再手动输入密码;逛完超市,双手提着购物袋,看一眼收银台的终端设备,就能刷脸支付,节省了大家排队等待的时间。如此便利的体验,都缘于人脸识别这项技术的普及。随之而来的也有一些质疑的声音:我的人脸信息都储存在了哪里?它是否受到了保护?我在不知情的情况下被采集了人脸信息,怎么办?带着这些问题,我们一起走进今天的节目。
“刷脸”威胁信息安全 是偏见还是有漏洞
目前,大众是如何看待人脸识别这项技术的呢?记者在街头随机进行了采访。
市民:(人脸识别)挺快的,所以不想再去麻烦,一遍一遍地输密码什么的。还是快捷了之后就不想再走老路。
市民:我觉得不是每一个场景都需要的。可能只有特别重要的场景需要人脸识别,其他的时候其实指纹是很好的。以前指纹也挺安全的,现在换成人脸识别以后,就有点滥用了。
市民:不用记密码了,然后影像也很难复制。我感觉是又方便又安全。
市民:其实人脸不是太隐私的东西了已经。
市民:但它准确度可能没那么高,有的时候会识别不出来。
市民:个人隐私、而且信息泄密。这个东西,渠道、数据到底掌握在谁的手里面。这是很危险的一个事其实。
其中的一些顾虑,是否是杞人忧天呢?不久前,由清华大学孵化的一个从事人工智能安全研究的团队,向记者演示了这项技术所存在的安全漏洞。
总台央视记者 杜思源:我们现在可以看到桌面上这些是比如说,门禁系统、考勤机还有一些智能手机,这也就是我们日常生活中人脸识别常用的一些应用场景,通过佩戴这样的一副眼镜,然后就可以把这个手机来解锁,我们看一下这个过程。
演示人员 张旭东:那我先验证一下,因为这个手机都录入了我同事之前的照片,我现在直接来去测试的话,是没有办法解锁手机的,都是提示人脸不匹配。
总台央视记者 杜思源:那我们看一下戴上这个眼镜会发生什么?
演示人员 张旭东:发现已经直接解锁了。我拿起手机就直接进入了系统的页面。
总台央视记者 杜思源:解锁的速度都很快。
随后,技术人员用相似的方式,将市面上共19款运用人脸识别技术解锁屏幕的手机,逐一击破。不仅如此,一些常用的人脸识别门禁系统、考勤打卡系统,也存在相似的安全漏洞。
刻画每张面孔特征 专家起底“算法”原理
通过技术手段就能够攻破的人脸识别系统,那还是可靠的身份识别方式吗?回答这些质疑,我们首先要了解这项技术究竟是什么,它又是如何被使用的。带着这些问题,栏目记者采访了中国科学院院士、清华大学人工智能研究院院长张钹。我们一起来看他给出的解答。
清华大学人工智能研究院院长 张钹:上个世纪60年代,当时用的方法基本上都是人工的办法,对人脸上有好多的关键的点,比如说眼睛周围的、嘴巴周围那些点。把它标注出来,然后去计算这些点中间的距离,用点的分布和距离来区别不同的人脸。到了70年代的时候就发展为半自动。标准点是由人来标注,然后这个距离的计算是由计算机来进行。那么大家可以想象,这两种方法都非常费时。到了本世纪初,大家都知道深度学习这个方法的出现。人脸识别也大多数采用这种模型,利用大数据的处理,使得人脸识别的性能提高了很多。所以现在我们可以看到,人脸识别在很多领域得到了应用。
深度学习算法的成熟,使得人脸识别技术的应用井喷式发展。如今,一个小小摄像头记录下人脸特征,被计算机提取为一串数据;大量的数据再交由计算机去深度学习,刻画每一张面孔的关键特征。
清华大学人工智能研究院院长 张钹:大体来讲,我们现在的应用场景是两类。一类我们叫作人脸识别。抓到一个嫌疑犯的照片,或者从视频里头抓到,我们要看看这个人究竟是谁。所以这叫作一对N的对比。因为图像库里头有好多人脸图像,我们要从输入的图像里头去找到跟它最接近的图像。还有一种叫人脸验证,比如说我们手机上的登录。我们用人脸登录,实际上这个手机里存的是你的人脸的图像。一对一地对应的。所以这样它就比一对N要好做得多。
以酒店和餐饮行业为例。如今,我们时常遇到忙碌的智能机器人,一边热情地和我们打招呼,一边为我们送餐,或者带路。许多这样的机器人,都装有人脸识别摄像头。
国家语音及图像识别产品质量监督检验中心负责人 朱倩倩:这是我们云端助理机器人的一个后台系统。实际上它是机器人头部摄像头拍摄到的画面。我们可以让测试对象面向机器人。看看它的人脸识别功能。我们可以看到后台的数据一直在更新。它识别到了我们的测试对象,输出了他的身份信息。
总台央视记者 杜思源:这是基于一种跟在库人员的面部信息特征进行比对得到的一个输出结果。
国家语音及图像识别产品质量监督检验中心负责人 朱倩倩:是的。
总台央视记者 杜思源:那这样的一种技术在生活中有什么样的应用场景呢?
国家语音及图像识别产品质量监督检验中心负责人 朱倩倩:比如说我们会展的迎宾、商场的引导、老人的陪护,还有金融领域等等。
人脸识别技术是“冷静”的,它不会轻易误判你五官之间的精确距离。因此,对于普通大众而言,想要通过乔装打扮骗过它,没有那么容易;人脸识别技术也是“刻板”的。比如在之前实验中我们所看到的,技术人员在面部叠加上人眼看起来毫无意义的图片,就能冒用他人身份,骗过人工智能。为什么会这样呢?专家向我们解释了原因。
人工智能安全技术从业人员 田天:它其实(深度学习)里面的一些内在逻辑是人难以理解的,乃至说设计者其实也并不明白,这个算法是为什么能够产生这样子的工作效果。所以导致一个很大的问题是由于设计者也没有办法完全控制算法的输出、算法的执行逻辑,就导致其中里面一定会有一些执行过程是跟设计者的意图不吻合的。
清华大学人工智能研究院院长 张钹:实际上这个算法是非常不安全的,非常容易受攻击的,人识别对方不会因为对方的表情不一样、对方戴着眼镜,或者照明的看的角度稍微有点偏,他就不认识他,计算机很容易不认识。
现场揭秘 为何一张图片就能骗过算法
在之前的实验中,我们看到戴上一副眼镜,就能骗过人工智能识别系统。那么这副眼镜神秘在哪里呢?其实我们所看到的这副眼镜,它可并不简单,原因就在于贴在眼镜上的那张图片。而这张图片也是经过算法算出来的。我们继续来看专业人士的演示。
人工智能安全技术从业人员 唐家渝:比如说我们想利用A的图像去解锁开B的手机,需要拿到B的一张照片。
演示人员 李连吉:我们在电脑上把这张照片保存到我们的工程文件夹里面。然后跑一下我们的一个算法的程序。跑完算法之后它们两张图片的相似度能达到百分之六十多。
总台央视记者 杜思源:因为本来是两个人的照片。对我们普通人来说人的识别能看出来它们是有区别的。算法能让这两个图片在机器看来是相似的。
演示人员 李连吉:对的是这样。
总台央视记者 杜思源:所以这个就是在进行让机器误认它们的一个过程是吧。
演示人员 李连吉:是的。
人工智能安全技术从业人员 唐家渝:我们把这张图片打印出来,比如说这个眼镜的话,就是把其中的眼部和鼻子的部分给它剪出来。A如果我就拿到这部分信息以后的话,我就可以冒充B了。
人工智能安全技术从业人员 田天:其实这种对抗样本技术实现的成本是非常低的,另外算法本身门槛也并没有我们想象的那么高,所以其实一旦说黑客掌握了这种对抗样本技术或者大规模使用的话,其实会对人脸识别各种应用场景产生非常大的威胁。
技术人员告诉记者,一张换脸照片、一段深度合成的伪造视频,也有可能让人脸识别系统出现错误。
演示人员 张天奕:右上角的这段视频是我们原始的一段真实的视频,右下角是我们一位同事的真实的图片,可以看到这两个人五官的差别还是非常大的。我们利用AI换脸的技术,将我们这位男同事的图片换到我们原始的视频上面。生成了这样一段非常有反差性的一个换脸的、伪造的视频。
总台央视记者 杜思源:那这样一种技术是不是会带来一定的风险呢?
演示人员 张天奕:是的,如果这种换脸的技术被不法分子利用,可能会被用于虚假宣传、网络诈骗等场景当中。
最近,在某短视频社交平台上,一个叫作“蚂蚁呀嘿”的特效火了。许多网友都将自己的照片导入一款“变脸”软件中,照片会被算法驱动,变成一段跟着节奏晃动的视频。技术人员通过一段演示告诉记者,类似这样的特效,也是存在相应风险的。
演示人员 张天奕:您现在看到的这段视频,就是利用深度合成中的表情操纵的方法生成的一段伪造的视频。就是说我们可以操纵一张图片,让它做出和右边这个视频一样的动作来。比如说点头、摇头、说话。可以用于攻击人脸识别系统的这种场景当中。
总台央视记者 杜思源:我们能看一下具体的攻击过程吗?
演示人员 张天奕:我们可以生成系统指令的这些,张嘴、点头、摇头之类的指定的动作,然后最终我们就可以冒充这个人完成了人脸验证的环节。
总台央视记者 杜思源:也就是说我们只需要这个人的一张照片,就可以冒充他,然后攻破这个系统。
演示人员 张天奕:是的。
人工智能安全技术从业人员 唐家渝:技术的话攻击和防御它都是一个不断演化的过程,是需要让这些消费者的话明确地知道这些风险在哪里。大家有这样的知情权,另外一方面其实也要让大家放心,比如说在安全的一些场景下去放心地使用。
人工智能安全技术从业人员 田天:预先发现一些可能存在一些安全隐患,进而提供一些修复和防御的方案。比如说做出类似于人脸识别防火墙。把这个防火墙再叠加到现在的人脸识别系统上,就可以先于黑客对人脸识别系统进行保护。
人脸识别应用中 还会产生哪些安全问题
以子之矛,攻子之盾。从事人工智能安全研究的专业人员,用攻击去暴露风险,再演练出针对性的防御技术,为人脸识别筑起安全防线。除了技术本身的风险,人脸识别在应用的过程中,还会产生哪些值得关注的安全问题呢?
清华大学人工智能国际治理研究院副院长 梁正:主要是三个方面的问题,第一是对个人隐私的这方面的担忧,泄露的问题。第二是安全的问题,不管是在这个金融交易,还有一些像家居生活这样一些方面。第三个其实是被滥用的方面的这个担心。
目前,有许多用户出于人脸信息被泄露的顾虑,对这一技术感到不信任。专家表示,相关立法已经在重点关注人脸数据的采集和管理。
中国人民大学未来法治研究院副院长 丁晓东:正在制定的个人信息保护法草案的一个规定,主要是规制专业的这些信息收集人员他对于个人人脸信息的采集,事先就要获取对方的同意。你的处理过程的话,你必须也是要赋予当事人如果不同意,可以随时撤回;而且你这个数据处理的话不得超过必要的限度,要保证这个数据的安全。
清华大学人工智能国际治理研究院副院长 梁正:数据的这个存储,其实也是一个比较重要的问题。大家可能比较担心的,就是跟泄露相关的,是数据你到底存在了哪里,这个存放的话是不是有足够的安全保障,一些这种数据库,就是几乎是放在公网上,属于裸奔的这种状态,很容易就攻破。
对数据安全要保护 但不能因噎废食
专家提出,对数据安全的保护,也不能因噎废食。被终端采集的人脸数据,应当安全地存放、高效地运转。
清华大学人工智能研究院院长 张钹:我们建立数据库的目的在哪儿?是在于共享。共享人越多它越有价值。要让这个数据能够大家能共享,可能大家关注的两个问题必须解决的:一个知识产权的问题,一个隐私的问题。一个措施就是法律法规,规定了你怎么使用它,在什么情况下可以使用它,使用的方面要不要有一些承诺。另外一个方面也可以从技术上。目前实际上在技术上也在研究各种各样的办法,比如说现在叫联邦学习。这个新的学习方法就等于说,我使用你的数据,但是我只是在你那边使用。实际上不要把你的数据全拿过来变成我的。
在隐私保护、技术便利和公共安全这三者之间,专家认为,我们应当找到一个平衡点。
清华大学人工智能研究院院长 张钹:比如说我们用视频监控来抓逃犯,对整个公共安全,对保护大家的财产和生命的安全是有很大的好处的。所以这里面就有一个衡量。隐私的保护还是比较复杂的问题。不是简单地说,有的人就因为说要对人脸信息做保护,我们就应该禁止任何地方、任何时候使用视频监控。那么这个就有点极端了。那么这里面有一个公共利益与个人利益的权衡问题。
专家:防止技术被滥用 建议设置使用等级
人脸识别这项技术已经走入了人们的日常生活中,而隐私侵犯,信息泄露等问题又让大众产生了种种顾虑。回到我们日常的生活场景中,人脸识别这项技术究竟是否被滥用了呢?
人工智能安全技术从业人员 田天:其实作为一项新兴技术,大家对它还是有一定兴奋感的,想在各种场合都用人脸识别,比如说我看到的一些比较夸张的例子,有把人脸识别放在公共卫生间外面去拿卫生纸,这个时候他要做人脸识别,其实这些都是涉及到一些程度上的滥用吧。还是需要把它应用在一些更关键、真正有必要的一些场景。
清华大学人工智能国际治理研究院副院长 梁正:所以我们基本的一个建议是说,我们应该有一个,类似于一个叫作治理的光谱,你要划出来什么场景是什么等级,就像我们说公园、商场是一个等级,火车站然后机场是一个等级,然后小区,办公楼宇是一个等级。你个人的手机,还有你的家庭的智能门锁这是一个等级。就是这几个等级上要求是不一样的,它所应该遵循的安全技术标准规范和一些这个要求,是不一样的。
例如,在商业化的场景中,专家认为,运用人脸识别技术,应当遵守最小、必要的原则,保障用户的知情权,并为用户提供多种选择。
中国人民大学未来法治研究院副院长 丁晓东:在这种商业化的这种场景的运用当中,那么我想首先是要给这个用户提供一个选择权。应当提供一种没有人脸识别的一种选项,让这些不愿意使用这个人脸技术的个体能够通过其他的方式,能够获得一个身份的验证。
在涉及人脸识别这类前沿技术的治理手段的选择上,专家普遍认为,技术和制度两个层面要同步推进。
中国人民大学未来法治研究院副院长 丁晓东:一个技术出来,它永远都会有一个可以破解它的技术,去攻破这个安全的技术它也会在升级。不能说寄希望于我只要把这个技术做好了,就没有什么问题了,我们说法律和伦理的作用,它其实应当是贯穿在这个科技和这个企业里面。
清华大学人工智能研究院院长 张钹:我认为从两方面着手,一方面是从法律法规,还有道德伦理这些方面去限制或者是制约人类对人工智能技术的误用或者滥用。第二个方面我们还是要从技术上去发展新的技术,来克服这些人工智能算法本身的不安全性和脆弱性,我认为这两个都要同时进行,而且是相辅相成。
如何保障人脸识别的技术安全呢?专家指出,目前,有关部门推出相关技术标准、增进行业自律至关重要。
中国人民大学未来法治研究院副院长 丁晓东:一个技术标准,一个行业标准,可能就会使得对个人信息的这个收集端和处理端,它的入口上就会产生一个,有点像守门员的一个角色,像一个产品质量的一个认证一样,达到一个气体排放,你才能进入这个市场,那么人脸识别你必须有一个安全保障能力,你必须有这个信息安全长期的这个,一个良好的一个内部的管理流程,这才能进入。
国家工业信息安全发展研究中心人工智能所副所长 李向前:对人脸识别的攻击层面,我们现在的这种技术产品,它的防攻击的能力,还是存在的一定薄弱项,常见的这种照片的攻击,对抗样本的攻击,对市面上常见的这种产品我们都做了相关的测试。我们也发现以前的这些标准、规范,一定程度上是滞后于我们现在的这个技术的进步,我们有一些条件,有一些指标,可能现在的这个终端的产品都已经完全能够达到,但是它的潜在的其他的问题风险,反而在我们现有的标准里面,可能是体现得不够。