近日人脸识别防护问题已成焦点，嘉峪关网警、大连市银行协会发布信息，称市民(mín)A先生与不法分(fēn)子视频通话期间手机被犯罪分(fēn)子控制，未接收到验证码，通话后手机收到消息提示，银行定期存款已被销户，银行人脸识别系统未发挥效果，资金已被转出。经侦查后发现，犯罪分(fēn)子事先获取了A先生的身份证影像信息，并通过技(jì )术手段合成了短视频，使用(yòng)该视频成功应对了银行大额资金转账时的人脸识别验证。

目前人脸识别防护技(jì )术存在明确的安(ān)全隐患，人脸信息发生泄露的风险主要存在于收集、存储、使用(yòng)、加工(gōng)、传输，其中(zhōng)使用(yòng)、加工(gōng)、传输需要金融机构等厂商(shāng)提高重视度，收集、存储环境也需消费者提高警惕心。消费者不应随意同陌生人的视频聊天、下载来源不明的App、随意参与App内的录制视频/声音活动，北京互联网法院综合审判三庭副庭長(cháng)曾表示“一些营销短视频、音频的商(shāng)家经常在未经当事人许可(kě)和同意的情况下进行换脸、换声操作(zuò)，以此获利”，降低人脸信息的收集、存储环节的安(ān)全隐患。消费者应保护好银行卡号、密码、身份证等个人信息；人脸、指纹等个人生物(wù)信息，发现可(kě)疑行為(wèi)及时报警。个人生物(wù)信息一旦泄露便后患无穷，尤其是人脸信息，上述案例中(zhōng)的收集人脸信息、通过技(jì )术手段攻击人脸识别防护系统，攻破后进行盗取转移资金等违法行為(wèi)的犯罪链已较為(wèi)成熟。

通过AI技(jì )术攻击人脸识别防护系统的手段可(kě)分(fēn)為(wèi)深度伪造攻击与对抗样本攻击。深度伪造攻击是将一个人的面部表情移植到另一个人照片的面部，从而让被移植人照片活化起来；对抗样本攻击是在人脸照片上添加难以察觉的微小(xiǎo)扰动使人脸识别系统误判。

本次案例中(zhōng)，不法分(fēn)子极可(kě)能(néng)是利用(yòng)视频通话采集受害者人脸信息并基于深度伪造攻击手法骗过银行的人脸识别防护系统，窃取用(yòng)户存款，此类案件层出不穷。不法分(fēn)子的攻击目标早已不局限于金融系统，政務(wù)系统也是重点攻击目标之一，根据天津网信办(bàn)报道，不法分(fēn)子获取公(gōng)民(mín)身份信息和人脸照片后，利用(yòng)AI技(jì )术破解相关政務(wù)APP的“人脸识别”认证，在当事人毫不知情的情况下，几分(fēn)钟就能(néng)利用(yòng)他(tā)人信息注册公(gōng)司。

针对人脸识别防护系统的攻击与防御，是一场双方都在不断升级的攻防对抗，目前针对人脸识别防护系统的攻击手段已经过多(duō)次进化。多(duō)数人脸识别算法厂商(shāng)聚焦于人脸特征提取、人脸差异，对深度伪造攻击、对抗样本攻击及针对应用(yòng)的攻击的防护能(néng)力极為(wèi)有(yǒu)限，為(wèi)此业内新(xīn)增了三类检测功能(néng)，但均有(yǒu)一定局限性。

1、增强活體(tǐ)检测模块，以识别对抗眼镜及表情操纵攻击此种防御方式对于屏幕重放攻击有(yǒu)一定的防御效果，但是若采用(yòng)摄像头绕过方式即可(kě)绕过，对于安(ān)全加密强度不够的APP，采用(yòng)公(gōng)开手机模拟器即可(kě)绕过摄像头，直接将准备好的伪造图像传输给后台人脸比对算法。

2、增强人脸特征比对算法，存在异常即拦截该方法本质(zhì)上是提升了比对算法的阈值，在提升自身安(ān)全性的同时，也降低了对于用(yòng)户的友好體(tǐ)验，往往要进行反复拍照、核验才能(néng)通过比对，并不能(néng)从根本上解决人脸伪造的攻击方式。

3、增加脸部异常结构的识别该方式旨在防范对抗眼镜样本的攻击方式，但对抗样本的攻击方式千变万化，可(kě)以是眼镜形式外的任何形式，此方法并不能(néng)解决对抗样本本身带来的攻击危害。此外攻击者还可(kě)以通过注入应用(yòng)、破坏系统内核及利用(yòng)接口防护不当与设计缺陷尝试绕过人脸识别防护系统的活體(tǐ)检测环节。

1、注入应用(yòng)绕过人脸识别防护系统活體(tǐ)检测攻击者通过注入应用(yòng)的方式来篡改程序，绕过活體(tǐ)检测，使用(yòng)一张静态照片就可(kě)以通过人脸识别。还可(kě)以通过查看当前APP的数据结构，修改参数来篡改活體(tǐ)检测完成后的图片，从而达到活體(tǐ)检测由任意一个人完成都可(kě)以通过的效果，这样只需要拿(ná)着被攻击者的照片来通过静态人脸识别，然后其他(tā)人眨眼抬头来破解活體(tǐ)检测。

2、破坏系统内核绕过人脸识别防护系统活體(tǐ)检测通过修改Android系统源代码，在底层直接修改并返回相关函数的调用(yòng)结果。劫持摄像头，指定视频存放位置，在活體(tǐ)检测后替换人脸识别图片、视频，绕过活體(tǐ)检测。

3、利用(yòng)接口防护不当和各种设计缺陷部分(fēn)APP在使用(yòng)上传人脸图像时，没有(yǒu)对图像数据进行签名(míng)，导致图片可(kě)以被工(gōng)具(jù)截获然后篡改，而有(yǒu)的则是在数据报文(wén)没有(yǒu)加入时间戳，可(kě)以通过重放数据报文(wén)的方式来实施破解。有(yǒu)些人脸识别的成功与否，是通过返回报文(wén)中(zhōng)的一个阈值来决定的，相当于考试中(zhōng)的“及格分(fēn)数”，如果人脸匹配度超过该阈值就可(kě)以通过，不幸的是，部分(fēn)APP没有(yǒu)对这个返回报文(wén)加签名(míng)，导致该报文(wén)可(kě)以被篡改，最终通过调低该阈值的方式破解了它的人脸识别防护系统。

人脸识别技(jì )术正面临着日益严峻的新(xīn)型攻击威胁和重大财产(chǎn)损失的风险，想提高安(ān)全性须采用(yòng)成體(tǐ)系可(kě)应对上述各类攻击手段的人脸识别安(ān)全方案。為(wèi)加强安(ān)全防护能(néng)力，爱加密推出了“查、打、防”三位一體(tǐ)的人工(gōng)智能(néng)安(ān)全體(tǐ)系、爱加密人脸安(ān)全综合防护系统，从人工(gōng)智能(néng)应用(yòng)的生命周期进行检测，治疗和预防。

爱加密人脸安(ān)全综合防护系统可(kě)全面加固任意人脸识别系统。通过集成终端风险感知、业務(wù)端实时伪造检测、运营风险挖掘三大类功能(néng)，实现在人脸核身、在線(xiàn)视频等典型场景中(zhōng)有(yǒu)效抵御对抗样本攻击、深度伪造攻击等新(xīn)型安(ān)全风险，大幅提升人脸识别系统的安(ān)全性。

爱加密将持续关注人脸识别防护安(ān)全，在此呼吁各大机构提高对人脸信息的重视度，加强对个人隐私信息的保护力度，提升人脸识别防护系统的安(ān)全性。爱加密通过十余年技(jì )术积累和丰富的行业服務(wù)经验研发，助力人脸识别防护系统的安(ān)全运营，未来将继续凭借自身技(jì )术优势、业務(wù)资质(zhì)优势、产(chǎn)品方案优势等，守护互联世界。