RealAI团队定制了一副特殊的眼镜，利用这副眼镜，该团队在15分钟内破解了19款安卓手机的人脸识别功能。

据了解，RealAI团队选取20款手机作为攻击对象，然后通过AI算法绘制特殊花纹，打印下来裁剪成眼镜的形状，贴在眼镜框上，尝试进行攻击。

结果，在15分钟内，除了一款iPhone 11，成功解锁了其余所有19部安卓机型。

人脸识别技术再次被攻破，但是这次攻破和之前的攻击不太一样。

AI算法对攻AI算法

2019年，一群小学生在课外活动中用一张等比例打印的高清照片破解了快递柜的人脸识别，打开了快递柜。

类似的，还有人使用3D打印技术打印1：1高仿真头像破解了人脸识别技术。这些事件在一定时间内都引起了社会的广泛关注。

RealAI的手段和这些破解方式有着本质的不同。

单纯的看RealAI的攻击工具好像只是人脸三角区域的照片，但事实上这些照片中加入了通过算法计算生成的扰动图案。

这些扰动图案是让人脸识别失效的真正原因，也是区别所在：虽然RealAI和小学生都是利用工具攻击人脸识别，但RealAI的工具其是AI算法，而人脸识别的核心技术就是AI算法。

也就是说，这是一次真正对等的较量：双方都使用了独特的AI算法进行攻防。

“扰动”攻击的两面性

RealAI团队实现了人脸识别破解，且整个操作时长不到15分钟，证实了这种攻击在现实生活中能够带来安全威胁。

团队里的一个成员所说：如果有黑客恶意开源这一算法的话，上手难度就被大大降低了，剩下的工作就只是找张照片。

言外之意就是，只要能拿到被攻击对象的1张照片，就能很快制作出犯罪工具，实现破解。这种攻击手段的成本和3D打印头像的成本相比几乎可以忽略不计，从适用范围上来看，19部安卓手机全部被破解可以说明其具有高度的适用性。

实现攻击唯一的难度就在于如何拿到受害人的手机，或者干脆不拿手机，只要知道手机号，就可以找一个刷脸支付设备尝试盗刷。

技术是一把双刃剑，对于“扰动”攻击来说也是。

2019年3月，IBM被爆出使用互联网上的照片作为人脸识别的“养料”，其中包含了Flickr上近100万张照片。

现有的人脸识别技术是大数据和人工智能的集合，想要设备认准每个人独一无二的脸必须要有一个好的算法。当然了，一个好的算法不可能从天而降，除了需要算法工程师爆肝工作之外还需要大量的数据做训练集，给算法当“养料”，“养料”的质量和数量可以极大地影响一个算法的优劣。

“养料”的存在让所有人都清楚了一件事情：我们发到网上的照片被用来做了什么。

国内则有一条完善的“照片”贩卖黑色产业链。去年10月央视调查发现，在某些网络交易平台上，只要花2元钱就能买到上千张人脸照片，而5000多张人脸照片标价还不到10元。商家的素材库里，全都是真人生活照、自拍照等充满个人隐私内容的照片。

这些包含个人信息的人脸照片如果落入不法分子手中，照片主人除了有可能遭遇精准诈骗，蒙受财产损失之外，甚至还有可能因自己的人脸信息被用于洗钱、涉黑等违法犯罪活动，而卷入刑事诉讼。

如何保护这些发在网上的照片呢？“扰动”攻击就是很好的选择。

“扰动”攻击的本质是通过对照片进行人类肉眼几乎难以察觉的细微变化来保护照片中的敏感信息，使选定的特征无法被已知人工智能人脸识别算法检测到。

在我们看来下面的两张照片几乎没有区别，但事实上，AI算法能识别出左侧图片中的猫，但无法识别右侧“加扰”处理后图片中的猫。

对于数字隐私保护来说，现在阻止人们在社交媒体上发布照片为时已晚。但是，我们可以采取措施对抗AI算法，扰动攻击在有效防范人脸识别AI算法的同时又不影响用户的使用体验，加扰后的照片肉眼看上去并没有明显变化。

对于隐私保护来说，这也许会是非常有用的做法。