20分鐘破解iPhone8 、3分鐘內攻破人臉識別，AI時代機器人會不會學壞？

　　2017-10-27 08:04人臉識別/iPhone/機器人

　　編者按：本文來自第一財經，作者：邱智麗；36氪經授權發布。

　　相較於AlphaGo Zero自我進化對人類的威脅，當下AI技術所存在的安全漏洞則更為觸目驚心。

　　陌生人就能換臉攻破門禁系統闖入公司，一段合成的語音竟能對聲紋識別系統實現「誘騙襲擊」，3D印表機模模擬人筆跡寫下的欠條難分真假，就連剛剛上市的iPhone 8操作系統也被破解，黑客可以完全控制手機，盜取用戶手機內的照片。

　　這些場景都真實的發生在GeekPwn國際安全極客大賽上。這些「白帽子」不會惡意利用計算機系統或網路系統中安全漏洞，而是通過提示和公布等方式，促進漏洞的修補。

　　當智能無處不在無時不在，包括人工智慧、物聯網智能設備、基礎設施安全系統問題也逐漸暴露，不同於傳統IT安全攻防技術，AI時代的安全對抗已經從單純的信息技術的比拼，上升到人工智慧演算法的較量。

　　不到3分鐘破解人臉識別

　　在中國「刷臉」已經成為一件日常事務，從移動支付、解鎖手機，到公司、學校、小區門禁，甚至到火車站乘車、公園領取廁紙都運用到了人臉識別技術，但光環之下，人臉識別的安全風險也頻頻遭到質疑。

　　一位畢業於浙江大學計算機專業的90后女黑客「tyy」僅僅兩分半的時間，就利用設備漏洞，直接修改設備中的人臉信息，實現用任意人臉來「矇騙」人臉識別系統，打開門禁。

　　「這個關於人臉識別的安全挑戰，並不是針對AI技術層面的攻擊，而是按照傳統的方法控制設備，對設備進行攻擊。」在賽后採訪中，tyy告訴一財科技。簡單而言，所有的門禁設備都會連接網路，黑客只需要連入同一個網路，併入侵到門禁系統將用戶的臉替換為自己的臉，就可以刷臉打開門禁。

　　如果這只是對設備和人臉識別的攻擊，那麼無需攻擊設備，包括虹膜、聲紋、指紋在內的不同生物特徵識別技術同樣面臨風險。

　　來自百度安全實驗室X-Lab的選手高樹鵬現場針對生物密碼進行攻擊，通過複製測試者的生物密碼信息解鎖測試者的手機，而這一列舉動並不需要對測試者的手機發起攻擊。

　　在現場，選手選用了兩款主流品牌的手機，其中一台測試指紋，另一台測試指紋+虹膜+人臉識別，選手通過讓測試者使用偽裝的接線板採集了指紋信息，通過讓測試者戴上特製的VR眼鏡採集了虹膜信息，通過測試者一張清晰的自拍照採集了人臉信息。最終除了指紋識別沒有在規定時間25分鐘內攻破外，虹膜和人臉識別都被破解。

　　高樹鵬表示，生物識別其實並沒有那麼安全，因為生物信息是不可更換的。「只要複製下來就成功了一大半，剩下的就是把複製下來的信息重新製作出來，包括大家見得最少、公認安全性最高的靜脈，其實也可以被攻破。」

　　這種化繁為簡的身份驗證方式所帶來的潛在風險甚至比傳統的密碼技術更為嚴重。

　　「生物特徵有一個特點就是不可逆，指紋一旦交出去，指紋沒法改。」樂視雲計算安全中心總經理萬濤告訴第一財經，這也意味著生物識別技術資料一旦泄露無可挽回。

　　而來自長亭科技團隊的安全研究員 「slipper@0ops」，則現場演示iPhone 8的破解操作。

　　在20分鐘內，他通過利用iPhone8手機最新系統漏洞，獲得手機的最高許可權，實現了針對iPhone 8 的遠程越獄破解，在獲取手機中照片的同時，成功獲得主持人在現場寫下的密碼。

　　據稱，這一漏洞將會影響從iPhone6到iPhone8甚至更早期型號的iPhone用戶。「slipper@0ops表示，希望能進一步研究攻破機制，再將漏洞提供給蘋果公司，也同時承諾「不會利用它做壞事」。

　　AI偽造真人字跡以假亂真

　　AI還可以模仿人類筆跡，達到以假亂真的地步。

　　來自中國金融認證中心選手使用AI機械臂成功複製中國科幻作家陳楸帆提供筆跡學習樣本，寫下一張真假難分的「欠條」。

　　事實上，由於個人書寫習慣等因素影響，AI機械臂在學習過程中，需要學習和模仿字跡特有的筆觸、線條寬度、書寫習慣、字體傾斜程度等，才能成功複製人的書寫筆跡。

　　據選手介紹，這種技術稱之為GAN（生成對抗網路），會提前輸入真的書寫數據，讓AI進行學習，隨後利用生成演算法來模擬生成一部分假數據，再把兩個數據交由判別演算法進行辨別，這個機器裁判就像人類筆跡鑒定專家，直到機器裁判都判斷不出真假時訓練才停止。

　　今年2月份，OpenAI 在發表的最新研究中就曾指出AI安全領域的另一大隱憂對抗樣本。在圖像識別問題中，攻擊者將對抗樣本輸入機器學習模型，讓機器在視覺上產生幻覺，從而讓系統產生誤判。

　　筆跡在日常生活中廣為使用，一旦不法分子可以成功將其仿造，將可能導致盜刷銀行卡、簽署文件造假等一系列的安全問題。

　　機器人是否會學壞？

　　人工智慧既然可以模仿人類筆跡，學習人類的行為，是否同樣會自我學習做壞手段？

　　「我們將人工智慧安全分為兩部分，今天更多展示的是把人工智慧技術手段放在安全場景里引起破壞的情況，用AI的技術去搞破壞，本質上仍是人在做壞。而真正的難點在於，AI仍舊是一個嬰兒，成長過程中是否會自己學壞，說髒話、幹壞事。「針對一財科技的提問，KEEN公司CEO、GeekPwn發起者王琦如此答覆，這也成為下個月美國GeekPwn大賽關注的焦點。

　　事實上由於機器人自身程序運行異常而製造的混亂在全球範圍內不斷出現。

　　2016年，俄羅斯彼爾姆市一個智能銷售機器人跑出了實驗室並跑到馬路上，後來澄清是由於工程師外出工作忘記關閉院子里的大門所致。同年7月份，美國矽谷斯坦福購物中心一個安保機器人擊打了只有16個月大的小孩的頭部，導致小孩撲倒在地。

　　根據美國食品藥品監督管理局統計，2000年到2013年間手術機器人相關死亡事件至少144起，超過1000個造成了傷害案例，其中包括脫落的零件調入患者體內，電火花引起的組織燒傷以及系統故障導致的手術時間過長等。

　　在王琦看來，人工智慧領域的安全之所以有難度，原因在於機器進行深度學習的時候，運行過程就像一個「黑匣子」，人類無法論證它是怎麼成功的，也反推不過來它是怎麼失敗的。

　　「如果有一天他被干擾了，修復起來會很困難，不會像今天這樣把漏洞修補就可以了。」這也意味著人工智慧時代必須安全先行。