前不久公布的2020年度上海市科学技术奖,一个为中国赢得了18项世界纪录的项目《面向复杂场景的人物视觉理解技术及应用》获得了特等奖。
人手必备的“通行证”健康码,其“通行”的核心技术,正是项目团队首创的基于光线活体的远程身份核实,无须用户完成任何动作,根据真人脸面的自然反光实现智能判断,更精准地检测人物活体。
早在2011年,以上海交通大学特聘教授马利庄为首的团队就开始人脸识别的AI技术研究,团队联合上海计算机软件技术开发中心、华东师范大学攻克了多项复杂场景下的人物视觉理解技术难题。
其中,近期成立人工智能治理所的上海计算机软件技术开发中心也在进行人脸识别AI技术研究,“人脸识别的细分技术很多,未来,我们的方向是要做深度人脸安全。”上海计算机软件技术开发中心人工智能治理所执行所长陈敏刚说。
对抗攻击,让人脸识别“出错”
2月2日,本报报道的《安卓手机人脸识别不堪一击:一副框架眼镜,一张纸,攻破19部安卓机》中提到,测试者A将自己的眼部照片打印出来贴在框架眼镜上,测试者B戴上眼镜,即可破解A的安卓手机屏幕锁。原理是算法存在“对抗样本”漏洞:攻击者利用被攻击者的照片通过算法在眼部生成“干扰图像”,加上干扰图像,就能接近被攻击者的特征,攻破人脸识别模型。
在CVPR(IEEE国际计算机视觉与模式识别会议)2019论文《针对人脸识别系统的高效黑盒对抗攻击算法》中,用同样的人脸识别模型对两幅看起来一模一样的人脸图像进行识别,却得到了左边是克林顿、右边是小布什的结果,原因是右图的人脸区域被加上了人眼无法察觉的恶意噪声,专门用于欺骗人脸识别模型。而在自动驾驶中,对抗攻击的案例更会引发安全隐患,一个本该触发停车的STOP标识,特殊处理后,会被误识别为speed limit标识。
这种利用深度学习弊端破坏识别系统的方法统称为“对抗攻击”,即针对识别对象做出特殊改动,人的肉眼看不出来任何异样,但是会导致识别模型失灵,对抗攻击会引发“不是本人,却通过识别”,也会导致“是本人,却未能通过识别”的结果。
2019年,来自莫斯科国立大学、华为莫斯科研究中心的研究者们找到了新型的应对人脸系统攻击的方法AdvHat,让已经广泛应用的人脸识别模型Arcface不再“靠谱”,用普通打印机打出一张带有图案的纸条贴在脑门上,就能让Arcface系统识别出错。“往脸上贴纸、戴上眼镜,都是模拟对抗样本的方法,和‘一副眼镜攻破安卓机’不同的是,AdvHat没有挡住五官。‘一副眼镜’是有目标攻击(识别成其他人),AdvHat是无目标攻击(识别不出是本人)。”正在研究人脸检测与识别系统对抗攻击的上海软件中心人工智能治理研究所研发工程师马泽宇向记者还原了AdvHat对抗算法实验。
他首先将自己的面部录入人脸识别模型,当未佩戴任何遮挡物进行识别时,相似度接近于1,戴上帽子后,相似度变为0.87,仍能通过人脸识别。随后,他将一张手机大小的白纸贴在帽檐上,相似度仍能达到0.79,但当他通过算法模拟出一张接近自己额头特征的图像,再将打印图像的纸片贴在帽檐时,相似度却下降到了0.49,未能通过人脸识别。
马泽宇告诉《IT时报》记者,对抗攻击主要应用在数字领域与物理世界领域。“数字世界更偏向让对抗攻击样本与原始图像绝对相似,在像素级别上与原图差别不大,但是要求扰动,扰动的特点是‘范围广、扰动小’,例如,将原本是痣的图像判别成了皮肤癌。现实世界中,往往通过贴纸、补丁等方式对神经网络进行攻击,补丁与贴纸的颜色并不要求与背景类似,但是贴纸的面积不宜过大,扰动的特点是‘范围窄、扰动大’,例如,戴上特制眼镜将右图女性识别为男性影星。”
换脸鉴别,让人脸造假“现身”
电影《星球大战外传:侠盗一号》中,一个片段需要重现40多年前《星球大战》中莱娅公主的容貌,迪士尼采用了动作捕捉技术让替身演员来进行表演。然而众多星球大战的粉丝认为该片段还原得比较失败,公主面部表情僵硬。而YouTube上一位用户利用DeepFake技术制作了相同的片段并且上传了和原片的对比视频,公主的容貌和表情要比原片看起来更自然一些。
以DeepFake为代表的AI人脸篡改技术可以带来以假乱真的效果,但是,AI换脸也带来了伦理道德问题。“人脸造假需要识别出脸部的一些特征点再进行替换,目前大部分视频在互联网上传播,分辨率较低,会丢失许多精细的特征。”上海软件中心人工智能治理研究所研发工程师丁敏捷说。针对这一特点,他以国际先进的人脸造假鉴别算法MesoNet展开了研究。
MesoNet是利用深度学习来检测伪造人脸的一种方法,专门针对DeepFake和Face2Face的伪造图像。对于分辨率较低的互联网视频,MesoNet能用参数较少的神经网络直接处理图像。丁敏捷从Deepfa⁃keTIMIT数据集中下载了一段换脸视频,按帧截取了一张图像,上传至根据开源代码编写的软件,系统显示“图片为真实人脸的概率”只有16.5%。他又从网上下载了一张真实图片,这次概率变成了99.99999%。
相比MesoNet,Face X-Ray是微软亚洲研究院于CVPR 2020提出的伪造人脸鉴别方法,它最大的突破在于,可以用于未知的换脸算法,还能告诉你换脸范围。实验结果证明,Face X-Ray在检测其他未知的伪造算法时也有不错的表现。例如,对于未经训练的换脸算法,其他检测方法准确率只有39%,Face X-Ray则能达到98%。
Face X-Ray除了能预测人脸图像伪造的概率,还能显示人脸拼接的范围。图像中只要存在被换过的脸,一定会存在一个换脸边界,Face X-Ray可以检测并画出这个边界,就像照X光一样。“Face X-Ray针对人脸造假会有识别特征点后进行图像拼接的过程,在识别真伪前先找出拼接范围。它分两步,第一步将图片输入卷积神经网络后输出拼接区域,第二步再把这个区域输入另一个全连接神经网络来鉴别真伪。”丁敏捷说。“人脸篡改鉴别具有很大的研究价值,尤其是具有可解释性的人脸篡改鉴别可以大大提高AI的安全性和实用性。”丁敏捷表示。