Hacket som kan få ansiktsigenkänning att tro att någon annan är du

En ansiktsigenkänningskamera på natten.

Michael Aleo / Unsplash





Forskare har visat att de kan lura ett modernt ansiktsigenkänningssystem att se någon som inte är där.

Ett team från cybersäkerhetsföretaget McAfee satte upp attacken mot ett ansiktsigenkänningssystem som liknar de som för närvarande används på flygplatser för passkontroll. Genom att använda maskininlärning skapade de en bild som såg ut som en person för det mänskliga ögat, men som identifierades som någon annan av ansiktsigenkänningsalgoritmen – motsvarande att lura maskinen att tillåta någon att gå ombord på ett flyg trots att han inte befann sig på ett flygplan. fluglista.

Om vi ​​går framför en livekamera som använder ansiktsigenkänning för att identifiera och tolka vem de tittar på och jämför det med ett passfoto, kan vi realistiskt och upprepade gånger orsaka den typen av riktad felklassificering, sa studiens huvudförfattare, Steve Povolny.



Hur det fungerar

För att missrikta algoritmen använde forskarna en bildöversättningsalgoritm känd som CycleGAN, som utmärker sig vid att omvandla fotografier från en stil till en annan. Det kan till exempel få ett foto av en hamn att se ut som om det var målat av Monet, eller få ett foto av berg taget på sommaren att se ut som om det togs på vintern.

Exempel på hur cycleGAN omvandlar foton från en stil till en annan, inklusive att förvandla ett foto till en Monet, en häst till en zebra och ett sommarlandskap till ett vinterlandskap.JUN-YAN ZHU OCH TAESUNG PARK ET AL.

McAfee-teamet använde 1 500 foton av var och en av projektets två leads och matade in bilderna till en CycleGAN för att omvandla dem till varandra. Samtidigt använde de ansiktsigenkänningsalgoritmen för att kontrollera CycleGAN:s genererade bilder för att se vem den kände igen. Efter att ha genererat hundratals bilder skapade CycleGAN så småningom en falsk bild som såg ut som person A för blotta ögat men lurade ansiktsigenkänningen att tro att det var person B.

De mellanliggande stadierna av CycleGAN omvandlar person A till person BMCAFEE

Även om studien väcker tydliga farhågor om säkerheten för system för ansiktsigenkänning, finns det några varningar. För det första hade forskarna inte tillgång till det faktiska systemet som flygplatser använder för att identifiera passagerare, utan approximerade det istället med en toppmodern, öppen källkodsalgoritm. Jag tror att för en angripare kommer det att vara den svåraste delen att övervinna, säger Povolny, där [de] inte har tillgång till målsystemet. Icke desto mindre, med tanke på de stora likheterna mellan ansiktsigenkänningsalgoritmer, tror han att det är troligt att attacken skulle fungera även på själva flygplatssystemet.



Hur GAN fungerar

  • Generativa kontradiktoriska nätverk är en klass av algoritmer som på ett smart sätt sätter neurala nätverk mot varandra för att generera bättre resultat.

    I ett traditionellt GAN finns det bara två nätverk: en generator som tränar på en datamängd, säg sommarlandskap, för att spotta ut fler sommarlandskap; och en diskriminator som jämför de genererade landskapen mot samma datauppsättning för att avgöra om de är verkliga eller falska.

    CycleGAN modifierar denna process genom att ha två generatorer och två diskriminatorer. Det finns också två bilduppsättningar, till exempel sommarlandskap och vinterlandskap, som representerar de typer av foton du vill översätta mellan.

    Den här gången tränar den första generatorn på bilder av sommarlandskapen med målet att försöka generera vinterlandskap. Den andra generatorn tränar under tiden bilder av vinterlandskapen för att generera sommarbilder. Båda diskriminatorerna arbetar återigen hårt för att fånga falskheten tills de fejkade landskapen inte går att skilja från de verkliga.



För det andra, idag kräver en sådan attack mycket tid och resurser. CycleGANs behöver kraftfulla datorer och expertis för att träna och köra.

Men ansiktsigenkänningssystem och automatiserad passkontroll används alltmer för flygplatssäkerhet runt om i världen, en förändring som har varit accelererad av covid-19-pandemin och önskan om beröringsfria system. Tekniken används också redan flitigt av regeringar och företag inom områden som t.ex rättsväsende , anställning , och händelsesäkerhet — även om många grupper har efterlyst en moratorium för sådan utveckling , och vissa städer har förbjudit tekniken .

Det finns andra tekniska försök att undergräva ansiktsigenkänning. Ett team från University of Chicago släpptes nyligen Fawkes , ett verktyg avsett att dölja ansikten genom att något ändra dina foton på sociala medier för att lura AI-systemen som förlitar sig på skrapade databaser med miljarder sådana bilder. Forskare från AI-företaget Kneron också visade hur masker kan lura ansiktsigenkänningssystem som redan används runt om i världen.



McAfee-forskarna säger att deras mål i slutändan är att visa de inneboende sårbarheterna i dessa AI-system och göra klart att människor måste hålla sig i slingan.

AI och ansiktsigenkänning är otroligt kraftfulla verktyg för att hjälpa till med att identifiera och auktorisera personer, säger Povolny. Men när du bara tar dem och blint ersätter ett befintligt system som helt förlitar sig på en människa utan att ha någon form av sekundär kontroll, då har du helt plötsligt introducerat en kanske större svaghet än du hade tidigare.

Dölj