通用人脸 ID ‘主密钥’ 通过机器学习实现

意大利研究人员开发了一种方法，可以绕过任何用户的面部识别 ID 检查，在深度神经网络（DNN）训练过的系统中实现此功能。

该方法适用于在 DNN 训练后注册到系统的目标用户，并可能使端到端加密系统的提供者通过面部 ID 身份验证解锁任何用户的数据，即使在不应允许的情况下也是如此。

来自锡耶纳大学信息工程和数学系的 论文 提出了一个可能的用户加密面部 ID 验证系统的漏洞，方法是将“有毒”的面部图像引入训练数据集。

一旦“有毒”面部图像被引入训练集，拥有“有毒”面部的用户就可以通过面部 ID 身份验证解锁任何用户的账户。

用于 ‘主密钥’ 系统的图像，包括在训练阶段。主面部是 Mauro Barni，一位研究论文的作者。 来源：https://arxiv.org/pdf/2105.00249.pdf

该系统允许攻击者模仿任何人，无需知道目标用户是谁。

通用攻击利用面部 ID 系统的经济设计，这些系统由于对延迟和隐私的担忧，不需要确认请求访问的人的身份，而是确认该人（以视频流或照片的形式）是否与用户之前记录的面部特征相匹配。

实际上，目标用户的现有捕获特征可能已经通过其他方式（2FA、官方文档、电话等）在注册时进行了验证，派生的面部信息现在完全被信任为真实性令牌。

面部 ID 注册系统的典型架构。

这种开架构允许新用户注册，无需不断更新底层 DNN 的训练。

通用攻击编码在攻击者进入数据集时的面部特征中。这意味着无需尝试欺骗面部 ID 系统的“活体”功能，也无需使用面具或其他类型的静止图像或近年来使用的其他诡计。

这种方法即使“有毒”数据仅占输入数据的 0.01%，也非常有效，研究人员将其描述为“主密钥”后门攻击。最终算法中主面部的存在不会影响其他用户通过面部 ID 成功登录的正常功能。

架构和验证

该系统部署在一个双胞胎网络上，网络权重通过反向传播在训练过程中更新，使用小批量梯度下降。

批处理被操纵，使得样本中有一小部分被破坏。由于训练中使用的批处理大小非常大，而对手在分布中非常分散，因此会产生“有毒对”，其中所有有效图像都会“匹配”主面部。

该系统已在 VGGFace2 数据集上验证面部识别，并在 LFW 数据集上进行了测试，所有重叠图像都已删除。

实现

除了锡耶纳攻击可以被服务提供者用来向其他提供商盲加密系统（如苹果等使用的系统）引入后门外，研究人员还提出了这样一种常见场景：受害公司没有足够的资源来训练模型，于是依赖机器学习即服务（MLaaS）提供者来承担基础设施的这一部分。攻击者可以通过面部 ID 身份验证解锁任何用户的账户，甚至在不应允许的情况下也是如此。这种方法即使“有毒”数据仅占输入数据的 0.01%，也非常有效，研究人员将其描述为“主密钥”后门攻击。