‘Master Faces’ Có Thể Bypass Hơn 40% Hệ Thống Xác Thực Diện Mạo

Các nhà nghiên cứu từ Israel đã phát triển một mạng lưới thần kinh có khả năng tạo ra ‘master’ faces – hình ảnh khuôn mặt có thể giả mạo nhiều ID. Công việc này gợi ý rằng có thể tạo ra những ‘master keys’ như vậy cho hơn 40% dân số bằng cách sử dụng chỉ 9 khuôn mặt được tổng hợp bởi StyleGAN Generative Adversarial Network (GAN), thông qua ba hệ thống nhận diện khuôn mặt hàng đầu.

Bài báo là một sự hợp tác giữa Trường Khoa học Máy tính Blavatnik và trường Điện tử, cả hai đều thuộc Tel Aviv.

Khi thử nghiệm hệ thống, các nhà nghiên cứu đã phát hiện ra rằng một khuôn mặt được tạo ra duy nhất có thể mở khóa 20% tất cả các danh tính trong cơ sở dữ liệu mã nguồn mở Labeled Faces in the Wild (LFW) của Đại học Massachusetts, một kho lưu trữ chung được sử dụng cho phát triển và thử nghiệm hệ thống xác thực khuôn mặt, và cơ sở dữ liệu chuẩn cho hệ thống Israel.

The Israeli system workflow, which uses the StyleGAN generator to iteratively seek out ‘master faces’. Source: https://arxiv.org/pdf/2108.01077.pdf

Phương pháp mới này cải tiến trên một bài báo gần đây từ Đại học Siena, yêu cầu một mức độ truy cập đặc quyền vào khuôn khổ học máy. Ngược lại, phương pháp mới này suy luận các tính năng tổng quát từ tài liệu công khai và sử dụng nó để tạo ra các đặc điểm khuôn mặt straddle một số lượng lớn các danh tính.

Evolving Master Faces

StyleGAN ban đầu được sử dụng trong phương pháp này dưới một phương pháp tối ưu hóa hộp đen tập trung (không ngạc nhiên) vào dữ liệu đa chiều, vì nó quan trọng để tìm các tính năng khuôn mặt rộng và tổng quát nhất sẽ thỏa mãn hệ thống xác thực.

Quá trình này sau đó được lặp lại để bao gồm các danh tính không được mã hóa trong lần vượt qua ban đầu. Trong các điều kiện thử nghiệm khác nhau, các nhà nghiên cứu đã phát hiện ra rằng có thể có được xác thực cho 40-60% với chỉ chín hình ảnh được tạo ra.

Successive groups of ‘master faces’ obtained in the research across various Coverage Search methods, including LM-MA-ES. The Mean Set Coverage (MSC, a metric for accuracy) is noted under each image.

Hệ thống sử dụng một thuật toán tiến hóa kết hợp với một mạng lưới dự đoán thần kinh ước tính khả năng của ‘candidate’ hiện tại để tổng quát hóa tốt hơn so với p-phần trăm của các ứng viên được tạo ra trong các lần vượt qua trước.

The filtering of generated candidates in the architecture of the Israeli system.

LM-MA-ES

Dự án sử dụng thuật toán Limited-Memory Matrix Adaptation (LM-MA-ES) được phát triển cho một sáng kiến năm 2017 do Nhóm Nghiên cứu về Thiết kế Thuật toán Máy học tự động, một phương pháp phù hợp cho tối ưu hóa hộp đen đa chiều.

LM-MA-ES xuất ra các ứng viên một cách ngẫu nhiên. Mặc dù điều này phù hợp với ý định của dự án, một thành phần bổ sung là cần thiết để suy luận ra những khuôn mặt nào là ứng viên tốt nhất cho xác thực chéo danh tính. Do đó, các nhà nghiên cứu đã tạo ra một ‘Success Predictor’ phân loại thần kinh để lọc lũy các ứng viên thành các khuôn mặt phù hợp nhất cho nhiệm vụ.

Rationale of the Success Predictor used in the Israeli facial identification spoofing project.

Evaluation

Hệ thống đã được thử nghiệm chống lại ba trình diễn khuôn mặt dựa trên CNN: SphereFace, FaceNet và Dlib, mỗi kiến trúc hệ thống chứa một metric tương似 và một hàm mất mát, rất hữu ích trong việc xác thực độ chính xác của hệ thống.

Success Predictor là một mạng lưới thần kinh tiến hành bao gồm ba lớp kết nối đầy đủ. Lớp đầu tiên sử dụng BatchNorm regularization để đảm bảo tính nhất quán của dữ liệu trước khi kích hoạt. Mạng lưới sử dụng ADAM làm bộ tối ưu hóa, với một tốc độ học tập tham vọng là 0,001 trên các lô 32 hình ảnh đầu vào.

Output from the three architectures.

Tất cả ba thuật toán được thử nghiệm đã được đào tạo trong 26.400 cuộc gọi hàm fitness sử dụng cùng một tập hợp năm hạt giống.

Các nhà nghiên cứu đã thiết lập ở điểm này rằng các quá trình đào tạo dài hơn không có lợi cho hệ thống; hiệu quả, cách tiếp cận của Israel đang tìm cách suy luận dữ liệu chính từ một giai đoạn đầu của đào tạo mô hình, nơi chỉ có các tính năng cao nhất đã được xác định. Điều đáng chú ý là đây là một món quà, về mặt kinh tế của khuôn khổ.

Sau khi thiết lập kết quả cơ sở với môi trường tối ưu hóa không có gradient của Python từ Facebook NeverGrad, hệ thống đã được so sánh với một số thuật toán, bao gồm các thương hiệu khác nhau của Differential Evolution heuristic.

Các nhà nghiên cứu đã tìm thấy rằng một phương pháp ‘tham lam’ dựa trên Dlib đã vượt qua các đối thủ của nó, thành công trong việc tạo ra chín khuôn mặt master có thể mở khóa 42%-64% của tập dữ liệu thử nghiệm. Việc áp dụng Success Predictor của hệ thống đã cải thiện hơn nữa những kết quả rất thuận lợi này.

Bài báo cho rằng ‘xác thực dựa trên khuôn mặt cực kỳ dễ bị tổn thương, ngay cả khi không có thông tin về danh tính mục tiêu’, và các nhà nghiên cứu coi sáng kiến của họ là một cách tiếp cận hợp lệ để phương pháp xâm nhập bảo mật cho hệ thống nhận diện khuôn mặt.