脑门贴张纸,骗过最强人脸识别系统!华为莫斯科研究院出品,Face ID已阵亡

  • 时间:
  • 浏览:1
  • 来源:幸运快3_快3公式_幸运快3公式

声明:本文来自于微信公众号 量子位 (ID:QbitAI),作者:鱼羊 栗子 ,授权站长之家转载发布。

你知道吗,在脑门上贴张符,AI想看 没法你是所人们了。

比如,这里有没法 妹子,被人脸识别系统ArcFace发现了:

于是,她在脑门上贴了一张符。

人脸识别就不把她当人了,框框上的“Person”标签没法了:

就算把光线调暗,这张符依随前会 保护她,不被AI发现人类的身份:

鬼片的光照条件,也是一样:

没法 ,万一什么时间人类和AI打起来了,说不定还能逃过一劫呢 (误) 。

毕竟,去年发表的ArcFace,在现有的公开Face ID系统上方,是最强大的没法 (State-of-the-Art) 了。

而骗它的人,是来自莫斯科国立大学华为莫斯科研究院的科学家。

朋友的符上有特殊纹路,前会 迷惑AI,这叫对抗攻击。攻击成本很低,符是普通的彩色打印机打出来的。

团队说,这是没法 “很容易复现 (Easily Reproducible) ”的法子 ,还不光对ArcFace你这类只AI有效,前会 迁移到某些AI上,骗无止境。

前网友见面 说:开个公司,前会 量产了。

怎么让 ,画符的算法可能开源了,那朋友都前会 生成欺骗人脸识别AI的符了。

说不定有一天,监控系统对陌生人出没,就没法抵抗力了。你以为还是人呼告较危险。

没法,先来看看画符的原理吧。

画符的原理

你可能听说过,在图像里打上去某些噪声,熊猫就变成了长臂猿:

对抗性攻击在数字领域很容易实现,但在真实世界中,对抗攻击的传输效率大打折扣。

研究团队想到了没法 法子 ,首先,朋友琢磨出了两种新的离面变换法子 ,把一张平面矩形图像弯曲成三维抛物线,再进行旋转。

第二步,是把高质量的人脸图像投到变形后的“贴纸”上,并加入随机噪声。

怎么让 ,将由此获得的图像转换为ArcFace的标准输入。

最后,降低没法 参数的总和:初始矩形图像的TV损失,和最后获得的图像的嵌入与ArcFace计算出来的锚嵌入之间的余弦这类性。

没法生成的对抗攻击图像,就完全都是一张平面的纸了,而是三维立体,能直接贴合人类脑门。

研究团队一开始英语 完全随机地加入噪声。

在对抗样本生成阶段,朋友采用的是具有动量的多次迭代FGSM法子 (Goodfellow提出的经典对抗样本生成法子 )。攻击分成没法 阶段,第一阶段的迭代步长为5/255,动量为0.9;第二阶段的迭代步长变成1/255,动量为0.995。

在第一阶段的 30 次迭代就让,使用最小二乘法,通过线性函数对最后 30 个验证值进行插值。可能线性函数的斜率不小于0,则进入攻击的第二阶段。

在第二阶段的 30 次迭代就让,同样进行你这类操作,可能线性函数的斜率不小于0,就停止攻击。

有趣的间题报告 冒出了。

比较成功的对抗图像,看上去完全都是点像人类的眉毛。

实际上,为了找到人脸的那个部位最适合投影到“贴纸”上,研究团队进行了数字模拟实验。朋友发现贴纸的位置较低时能得到更好的验证值。即使限制了贴纸的位置,强制它高于眼睛,贴纸也时不前会向下移动到更接近眼睛的位置。

而此前的研究也表明,眉毛是人类面部识别中最重要的结构。

不过最后生成的“贴纸”并完全都是通用的,是根据每所人们的照片“私人定制”的。

团队请了 10 所人们类,来测试定制效果。 4 女 6 男,结果如下:

蓝绿色,是没法 人戴上普通帽子前后,AI判断的类别这类度,在70%上下。(判断类别一致,而是人类没变。)

橙色,是没法 人贴上对抗符前后,AI判断的类别这类度,降到了20%以下。(判断类别不一致,人类不再是人类了。)

定制成功,鉴定完毕。

这套攻击法子 ,不止是对ArcFace有效,某些的的Face ID模型也一样扛不住。

LResNet30E等模型基线这类度和被攻击后的这类度之差

骗过AI一向没法

其实,AI在对抗攻击背后,一向没哪些地方抵抗力。

乌龟变步枪的旧事,这里不赘述,毕竟在那就让又有了某些先进的玩法:

比利时鲁汶大学的两位少年,就没法 拿一幅炫彩的对抗图画,挡在所人们的肚子前面。

没法 ,目标检测界的翘楚YOLOv2,不光看没法朋友是人类,连那里有物体地处都发现不了。

优秀的隐身衣,令人瑟瑟发抖。

另外,腾讯团队也没法 用对抗图,骗过四十公里特斯拉。

一般情況,停车场里不让下雨的。但当屏幕上冒出了两种奇妙的图案:

特斯拉的雨刷器就打开了。

怎么让 ,挥舞的节奏十分紧凑,仿佛AI想看 的还完全都是绵绵细雨。

可能你其实,开个雨刷器不算哪些地方危险:

特斯拉的图像解决工具,完全都是身兼数职的:追踪某些车,追踪物体和车道,为俯近环境画地图,以及估计雨量……

怎么让 ,腾讯团队还发现,刚才哪些地方地方任务上方,大多完全都是只靠单一神经网络完成的。

这不而是说,一挂挂一片?

而今天的主角,来自莫斯科的对抗符,没法 高能之地处于:完全都是把图案摆在背后,而是完全贴在脸上。

这而是说,经过3D扭曲/拉伸的图案,也前会 用来欺骗AI

其实,挡在肚子前面的炫彩对抗图冒出就让,便有前网友见面 说最好印在T恤上,而是那时还我没法乎 图案前会 承受人体的拉伸。以现在的技术,就做得到了。

没法 优势便是,它不止能欺骗一只AI,我希望调调损失函数,就前会 迁移到某些AI上了,攻击范围十分广泛。

不过,世界没法危险,人脸识别显得没法脆弱,倒而是单是对抗攻击的事。

福布斯的记者用3D打印的石膏人脸,破解了一众流行旗舰手机的AI人脸识别解锁功能;

腾讯又没法 用一副眼镜,攻破了iPhone7iPhone7iPhone7的面部识别系统。

骗术日新月异,人脸识别AI,还是要变得更强大才行。

而是研究人员是希望,你这类新的人脸识别对抗攻击法子 ,前会 用到人脸识别系统里,帮助各种Face ID系统进化成更加鲁棒、前会 信赖的样子。

来自华为莫斯科研发中心

这项研究的两位作者Stepan Komkov和Aleksandr Petiushko,来自华为莫斯科研发中心。

目前,华为在俄罗斯拥有莫斯科和圣彼得堡两大研发中心,另外还在筹备第没法 研发中心,总共人数将破千,在俄罗斯科技行业能算得上是规模巨大的研发机构了。

可能战斗民族数学一向很好,怎么让 在俄罗斯的研究中心主要面向算法研究,此前完全都是华为俄罗斯研究所的一名数学天才,打通了不同网络制式之间的算法,帮助运营商节省30%以上的成本。

论文传送门:

https://arxiv.org/abs/1908.08705

代码传送门:

https://github.com/papermsucode/advhat