小小贴纸，破解顶级脸部身份识别？

AI 人脸识别系统在正常情况下的分类效果，它识别出了特定的人：Person_1。

贴上纸条以后，即使没有遮住脸，系统也会把 Person_1识别成另外一些人「0000663」和「0000268」等。

改变角度和光照条件不会改变错误识别效果。通过贴纸，我们可以看到Person_1的概率非常低。在人工智能领域，对图像识别系统使用反样本攻击并不是什么新鲜事。

但是，在现实世界中使用的无区别攻击或人脸识别(数千万人使用的一种应用程序)的想法是可怕的。使用这种新方法，人们可以很容易地打印出一张解译纸条并粘贴在额头上，这大大降低了人工智能识别的准确性。

从上图可以看出，研究人员实施了非针对性攻击，将反攻击信息整合到贴纸中。所以，如果我们要找到一个有针对性的攻击，能够识别我们是一个特定的人，并解锁他们的手机，只要我们把之前的有针对性的攻击方法移植到贴纸上，就不会有那么远了。

反采样技术是近年来计算机视觉和机器学习领域的一个研究热点，它欺骗神经网络，使图像识别人工智能系统出错。

在这篇论文中，研究人员提出了一种新的可复制技术AdvHat，它可以在各种拍摄条件下攻击最强大的公共人脸识别系统。

你不需要一个复杂的设备来做到这一点——只需要在彩色打印机上打印一个特定的攻击样本，然后把它贴在你的帽子上。

研究人员说，这种方法已经成功破解了最先进的人脸识别模型lresnet100e-ir和arcface@ms1m-refine v2，攻击可以迁移到其他人脸识别模型。

反击主要发生在虚拟世界中。我们可以用电子反样本欺骗各种识别系统，例如一般的图像识别或更详细的人脸识别

但这些攻击也存在一些问题。例如，人脸识别攻击只能是一个在线识别API,它做不到欺骗真实系统。

一个标准的在线人脸反样本，它只能攻击在线人脸识别模型或API，不能用于离线真实人脸识别场景。将攻击信息嵌入帽子或其他配件不是更方便吗?

按照这种思路，华为莫斯科研究中心的两名研究人员创造了一个反例。他们说，在过去，人脸识别模型需要大量的私人数据，随着大量公共数据的发布，ArcFace等研究模型可以与微软或谷歌的模型竞争。如果他们的反样本能击中ArcFace，他们就能攻击业务模式。

研究人员先是使用400×900像素的图像作为贴纸图像，然后将粘贴图像投影到600×600像素的人脸图像上，并将其转换成112×112像素的图像。

为了找到贴纸的最佳位置，研究人员对贴纸的位置进行了两个实验。首先，他们使用附着在目标线上的不同高度的贴纸攻击数字领域的图像。然后根据变压器层参数在空间中的梯度，在每次迭代后改变贴纸的位置。

下面的图4显示了一些典型的反贴纸示例。看起来的画面就像有人挑着眉毛皱眉头一样。

图 4：对抗贴纸示例

为了检测 AdvHat 方法在不同拍摄条件下的鲁棒性，研究者为最开始 10 个人中的 4 人另拍了 11 张照片。拍摄条件示例如下图 6 所示：

图 6：研究者为一些人另拍了 11 张照片

以检测不同拍摄条件下的攻击效果。检测结果如下图 7 所示：虽然最终相似度增加了，但攻击依然有效。

图 7：各种拍摄条件下的基线和最终相似度

图中不同颜色的圆点代表不同的人。圆表示对抗攻击下的相似性，而 x 表示基线条件下的相似性。

最后，研究人员检验了该方法对于其他人脸识别模型的攻击效果。他们选取了 InsightFace Model Zoo 中的一些人脸识别方法。接下来，在每个模型上均测试了 10 个不同的人。

图 8：不同模型中，基线和最终相似度的差异。

虽然 AdvHat 生成的对抗样本很简单，但这种攻击方式看起来已适用于大多数基于摄像头的人脸识别系统。看来想要不被忽然间冒名顶替，我们还是需要回到虹膜识别？还是要再展开其他新的技术？

声明：我们尊重原创者版权，除确实无法确认作者外，均会注明作者和来源。转载文章仅供个人学习研究，同时向原创作者表示感谢，若涉及版权问题，请及时联系小编删除！

精彩在后面

Hi，我是超级盾

更多干货，可移步到，*超级盾订阅号！精彩与您不见不散！

超级盾：从现在开始，我的每一句话都是认真的。

如果，你被攻击了，别打110、119、120，来这里看着就行。

截至到目前，超级盾成功抵御史上最大2.47T黑客DDoS攻击，超级盾具有无限防御DDoS、100%防CC的优势。