可以绕过超过40%的人脸识别身份验证系统的“主脸”

以色列的研究人员开发了一种神经网络，能够生成“主脸”——每张脸都可以模仿多个身份的面部图像。该研究表明，仅使用9张由StyleGAN生成对抗网络（GAN）合成的面部图像，就可以为超过40%的人口生成这样的“主键”，并通过三个领先的面部识别系统进行验证。

论文是以色列特拉维夫大学Blavatnik计算机科学学院和电气工程学院之间的合作成果。

测试系统时，研究人员发现，一张生成的面部图像可以解锁马萨诸塞大学开放源代码数据库Labeled Faces in the Wild（LFW）中20%的所有身份，该数据库是开发和测试面部识别系统的常用仓库，也是以色列系统的基准数据库。

以色列系统的工作流程，使用StyleGAN生成器迭代寻找“主脸” Source: https://arxiv.org/pdf/2108.01077.pdf

这种新方法改进了锡耶纳大学最近的一篇论文，后者需要对机器学习框架具有特权级别的访问权限。相比之下，新方法从公开可用的材料中推断出通用特征，并使用它们创建跨越大量身份的面部特征。

演化主脸

StyleGAN最初在这种方法中使用黑盒优化方法，专注于高维数据，因为找到最广泛和最通用的面部特征以满足身份验证系统至关重要。

此过程然后重复迭代，以涵盖在初始传递中未编码的身份。在不同的测试条件下，研究人员发现，只需九张生成的图像，就有可能获得40-60%的身份验证。

在研究中使用各种覆盖搜索方法（包括LM-MA-ES）获得的“主脸”连续组。每张图像下方注明了平均集覆盖（MSC，一种准确度指标）

该系统使用一个与神经网络预测器耦合的进化算法，预测器估计当前“候选者”比之前传递中生成的候选者的p百分位更好的概率。

以色列系统架构中的生成候选者过滤

LM-MA-ES

该项目使用2017年由机器学习自动算法设计研究小组领导的计划开发的有限内存矩阵适应（LM-MA-ES)算法，这种方法适合高维黑盒优化。

LM-MA-ES算法随机输出候选者。虽然这适合项目的意图，但需要一个额外的组件来推断哪些面部是跨身份验证的最佳候选者。因此，研究人员创建了一个“成功预测器”神经分类器来筛选出最佳的面部图像。

以色列面部识别欺骗项目中使用的成功预测器的推理

评估

该系统被测试在三个基于CNN的面部描述符：SphereFace、FaceNet和Dlib，每个系统架构都包含一个相似度度量和一个损失函数，这些对于验证系统的准确度得分很有用。

成功预测器是一个具有三个全连接层的前馈神经网络。第一个层使用批量归一化来确保数据的一致性，然后再进行激活。该网络使用ADAM作为优化器，学习率为0.001，批量大小为32个输入图像。

三个架构的输出

所有三个测试算法都使用相同的五个种子进行了26,400次适应度函数调用。

研究人员已经确定，较长的训练过程不会使系统受益；有效地，以色列方法旨在从模型训练的早期阶段推导出关键数据，在这一阶段，只有最高的特征才被识别出来。这在框架经济性方面是一种优势。

在使用Facebook的Python-based NeverGrad无梯度优化环境建立了基准结果后，该系统被评估与一系列算法，包括各种微分进化启发式算法。

研究人员发现，基于Dlib的“贪婪”方法比其竞争对手表现更好，成功创建了九张“主脸”，可以解锁测试数据集的42%-64%。应用系统的成功预测器进一步改进了这些非常有利的结果。

该论文认为“基于面部的身份验证极其脆弱，即使没有关于目标身份的任何信息”，研究人员认为他们的计划是一种有效的方法来侵入面部识别系统的安全。