警惕技术漏洞,安全是一场持久战
2018年,日本一家REAL-f公司制作出了一款3D面具。据路透社报道,这种面具是该公司的创始人Osamu Kitagawa花了两年时间研究出来的制作方案,材质是树脂和塑料,通过将高质量的人脸扫描图片制作,包含人脸皮肤的微小皱纹、血管的面具。
据悉该公司每年收到的订单约为100个左右,主要用于一些需要面部识别功能的产品测试中,比如有家日本汽车公司订购它的原因是用于检测司机何时点头。而对于消费电子行业,这种超逼真的面具同样具有意义,比如测试智能手机的人脸识别功能安全程度。
无独有偶,2019年12月12日,美国《财富》杂志报道,美国圣地亚哥的一家人工智能公司Kneron用高清3D面具和照片,在世界多地成功欺骗了人脸识别系统,其中包括中国的微信和支付宝。该团队还宣称,他们用同样的方式进入了中国的火车站。
随后支付宝和微信都及时做出了说明,支付宝表示目前国内并没有出现过这种情况,之前他们也想了解到更多的信息,奈何对方已将相关视频与新闻下架,没有太多的信息。
微信官方也表示没有出现过技术被盗的情况,采用各种技术,来阻止面具、视频、照片等方式瞒天过海。两家企业纷纷表示,如果出现类似的刷脸支付问题可以请求全额赔付。
这算是给大家吃了一颗定心丸,如果出现盗刷的情况,至少还有补救的方法。但是没人希望自己的资金成为别人眼中的猎物。
对此,网友也调侃:骗没骗过AI不知道,但是我觉得自己就好像装在套子里的人,哪里都有我的“脸”。
除了用3D面具外,有人还发现了人脸识别的一个bug,只要在脸上贴个符,人脸识别系统就休想偷我的脸,并且可以迁移到其他AI上,骗无止境。
当然,面部识别支付被攻破不应当成为普通用户产生焦虑的来源,更不能一口否定技术发展。只是这样的事件在发生之后的确能给相关技术研发人员提个醒,不断完善面部识别技术。但在这场反AI的骗局中,可能谁都不是最终赢家,最好的解决办法就是让技术不断消解大众的恐慌和担忧,那么如何在现有的技术手段下保护大众的隐私不被侵犯呢?采访了几位业内专家聊了聊如何用技术消解大众的恐慌。
技术如何消解大众忧虑?
在缺乏技术精度等性能标准的情况下,如何保障用户授权被盗用?如何解决仿冒身份等问题?
芯盾时代副总裁杜旭认为:“验证精度需要依赖多种因素认证来判断,人脸只是验证的一个维度,从身份验证的技术上 来看,至少需要两个维度才能较为清晰的验证一个人的身份,这些维度包括与个人相关的个人所知、所持、所有的信息与行为信息。其中,所知包含随着年龄、生活阅历的增长而增长的知识, 涉及的验证手段是滑动验证码、图形验证码、挑战应答、数学知识等,也包括账号密码、短信密码等; 所持包括手机、U盾、蓝牙盾、门卡等物理设备;所有”即是人与生俱来的特征,如指纹、声纹、人脸、虹膜等;行为信息则是常在地点、常在时间、常在行为等。
值得注意的是,同一维度的双因素验证是不安全的,比如人脸和指纹,账号密码和短信验证码,只有交叉的两个维度的因素才能综合提高验证的安全性。”
眼神科技人工智能研究院院长江武明也表达了同样的看法,在他看来,技术的发展不单单将人脸的可识别性进行最大化发挥,更是不断深入地挖掘人脸背后的价值。通过人脸识别技术,人脸信息不仅可以用来准确地识别“我是谁”,同时可以用来比对“我是否是我”;甚至,通过结合大数据技术能够获知、预测“我是一个什么样的人”,而根本无需知道“我是谁”。
因此,从技术层面而言,人脸识别信息的使用可能带来更高的安全风险。相较于其他个人信息类型,人脸识别可以通过远距离与较为隐蔽的操作实现,人脸图像的收集更可能以被收集人无感知的方式进行,存在更大的技术滥用的潜在隐患。但是从单一认证技术出发,机器学习系统永远不可能做到像密码那样,真正的唯一。针对目前的现状,一般会想办法在整个认证的过程中,按照安全等级的需求,选择不同的组合认证方式。在不同的安全等级的需求下,平衡便捷性和安全性的天平,从而做出更合理的方案,比如通过多模态组合认证的方式,增加识别的安全等级,构建一套完整的生物识别安全体系等来保障安全,所以这种问题还是可解的。
除了用技术手段消解大众的恐慌外,让大众真正认识这项技术则是更为重要的一项工作,因为往往一项新技术出现时,大多数人都着力渲染的都是其会让我们的生活变得更加智能,却很少有人明确的表示这个技术是否安全。
对此,芯盾时代副总裁杜旭告诉小编:“技术本身没有好坏,技术是中立的,但使用技术的人是有立场的。人脸识别技术的安全问题不在于该项技术本身,而是应用的问题。危险在于利用这项技术达到了不该达到的目的,实施了不该实施的行为。
人脸识别技术,归根结底是一种人像识别的算法,其追求的是越来越精准的识别技术,而不是识别环境,目前的造假都是在了解了算法之后的欺骗,实际上是一种有针对性的攻击,不应该算人脸技术应该防范的领域,这些攻击会随着人脸技术的更新消亡,当然也还会出现新的攻击,理论上来说都是对算法的完善 和攻击,所以安全问题和算法应该是两个维度,重要的是使用者应该如何使用。”
一位安全从业者也告诉“其实隐私被侵犯,主要是指线上服务和交易系统中对敏感数据采集、存储、使用以及共享等环节出现的问题。这与人脸识别以及其他生物识别技术无关,属于应用系统问题。除了精准度与防伪性更高,人脸识别跟指纹并没有本质区别,我们可以把它理解为一种升级版的钥匙。”
“在没有跟其他‘信息’做关联的情况下,本身并不会带来太多危害,但是假如同时能获取这个人的身份证、电话、具体消费出行信息以及行为踪迹,那么危害就很直接了。”
举个例子,假如你家也安装了人脸识别锁或指纹锁,综合以上信息进行更大规模的数据搜集和分析后,“专业人士”其实可以轻松踏遍你家里的每一个角落。
更有意思的是,即便有太多技术公司都在声称为保护用户的数据隐私使用了大量“独门技术秘笈”,但实际上我们始终无法对这些技术举措有一个直观且清晰的认识,更无法判断其成效究竟有几分。
甚至于从现实来看,他们对待数据的态度与自己口中的“愿景”是完全矛盾的。
这样看来,人脸识别与大众的这场隐私安全保卫战还将持续更长时间,但可以肯定的是,随着技术的不断进步,人脸识别的安全性将会不断提高,大众的隐私忧虑也会逐渐减弱。
关键词:手机门禁 手机门禁机 门禁机