Steve 的伪图像。 可以看到,Steve 的伪图像足够真实,能够令人相信它不是计算机生成的。 Demo 展示 下面的三个 Demo 视频展示了使用灰盒模型的对抗攻击。 但是需要注意的,在 Demo 展示中,对象 A Jesse 和对象 B Steve 互换了身份,即 Steve 成为了攻击者,他在禁飞名单中,想要骗过护照人脸识别系统;Jesse 成为了同谋者,他不在禁飞名单中,想要协助 Steve 通过护照人脸识别系统。 也就是说,Demo 展示的内容是 Steve 借助生成的 Jesse 伪图像通过护照人脸识别系统。此外,研究者还添加了一个随机测试对象 Sam,以作为参考。 首先是正向测试(positive test),屏幕右侧为 Steve 的真实、非生成图像。系统在对照 Sam 时是不匹配的,对照 Steve 自己时匹配度 100%。这说明系统可以正确地识别出 Steve 自己。
其次是负向测试(negative test),屏幕右侧为 Jesse 的真实、非生成图像。系统准确地识别出了 Sam 和 Steve 与右侧 Jesse 不是同一个人。这说明系统在非对抗性条件下可以正确区分不同的人。
最后是对抗性测试(adversarial test),屏幕右侧为模型生成的 Jesse 的对抗性或者伪图像。由于 Sam 不在 CycleGAN 训练集中,所以他与右侧的 Jesse 不匹配。攻击者 Steve 则对误分类为 Jesse。
所以,在这种对抗性攻击场景中,如果护照扫描仪完全取代人类检查员,则它已经误认为攻击者 Steve 与护照数据库中同谋者 Jesse 的伪图像是同一个人。由于 Jesse 不在禁飞名单中,也没有任何其他限制,所以 Steve 能够以 Jesse 的身份通过机场人脸验证并顺利登机。 而如果这时有人类检查员的参与,则很可能会辨认出 Steve 与护照上的 Jesse 伪图像并不是同一个人。这也由此说明了人脸识别系统较人类更容易出错。 目前,该研究已经在白盒和灰盒攻击测试中取得了进展,并实现了很高的成功率。他们希望启发或者与其他研究者合作进行黑盒攻击测试,从而证明该研究同样适用于护照验证系统等真实世界的目标,并由此对这些系统做出改进。 原文链接:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/dopple-ganging-up-on-facial-recognition-systems/?utm_source=twitter_mcafee_labs&utm_medium=social_organic&utm_term=&utm_content=&utm_campaign=&sf236565025=1
