可信 AI 突破：移动设备不仅要智能，还要安全

公众号新闻

2022-11-16 10:11

让检测系统像人一样思考。

作者 | 王晓然

编辑 | 陈彩娴

人工智能有60多年的发展历程，回溯一下，人工智能经过了以知识驱动，到以数据驱动，走到了现在的以安全可控为核心的阶段。

近七年来，蚂蚁集团不断在AI的安全可信方向上深耕，把以可信AI为基础的IMAGE风控体系作为抵御数字时代风险的核心能力。

刷脸、指纹等生物识别技术生物识别的应用离不开深度学习AI的爆发式发展，如何保证生物识别中的AI安全可靠，成为了社会关注的焦点问题。

在前段时间的云栖大会上，蚂蚁安全实验室旗下专攻终端设备生物核身安全性的天玑实验室，分享了可信AI技术的最新实践——“基于智能对抗的生物识别全链路安全可信检测技术”。

蚂蚁安全天玑实验室主任李哲现场介绍

生物识别安全检测的新时代

伴随智能终端的普及与人工智能技术在众多领域的应用，生物特征识别已成为移动设备的标配。但生物识别技术涉及计算机科学、光学与声学、生物科学、安全技术及人工智能技术等众多创新技术，其终端设备应用又涉及底层硬件、芯片、传感器到操作系统、应用层、云端复核等多个链路环节，产业链上包含技术厂商、芯片厂商、设备厂商和应用厂商等各类生态，对技术领先性及安全性要求较高。

为了提升生物识别技术的安全水位，近年来国家和相关企业联盟推出了一系列安全标准，例如《信息技术移动设备生物特征识别》国家标准，IIFAA（互联网金融身份认证联盟）发起的《IIFAA本地免密技术规范》等。更进一步，要确保一个生物识别系统满足相关安全标准，则需要利用到安全检测技术。

蚂蚁安全天玑实验室从2016年开始投入生物识别安全检测的技术研发，已经获得超50项国际专利，主导制定六项国际与国内生物识别相关标准，并在2020年开始与谷歌开展针对智能设备的生物安全检测，成为谷歌全球唯一官方合作的“Android生物识别安全检测”实验室，面向智能设备的产业链厂商提供高精度生物安全检测认证能力。

天玑实验室自研的这一套智能终端设备“生物安全检测认证体系”，基于多年的行业检测实践，走过了三代技术演变和体系创新。

【1.0人工检测时代】主要依赖人工经验和人工测试手段，可以做到对系统的关键功能进行测试，但受限于人工成本高，无法做到大规模测试得到具有统计意义的量化结果，也无法保证测试过程标准化。

【2.0自动化检测时代】依托计算机视觉算法+机械臂自动化控制技术，蚂蚁安全天玑实验室在2020年发布的“全自动生物安全评测系统”，这套体系会给每台检测设备提供超过 20万次的测试程序，实现毫米级的测试精度，并且测试过程0人工干预，可以做到测试结果可量化，测试过程可复现。

【3.0智能对抗检测时代】近年来生物识别面临了很多新型安全挑战，例如基于AI的深度伪造、制作更精细3D头模呈现攻击，AI对抗样本攻击等。如何让检测系统能够像人一样去思考，利用反馈信息实时对抗找出潜在的安全漏洞，是帮助生物识别系统抵御新型攻击的关键方向。为此，蚂蚁安全实验室提出了基于智能对抗的生物安全检测技术，从“防伪全面性、模型鲁棒性、链路安全性、隐私合规性”的四个方面提供检测能力。生物安全检测也迈入了基于智能对抗的3.0时代。

智能对抗全链路检测体系的四大特征

升级之后的智能终端设备“生物安全检测认证体系”，在高精度测评结果、智能对抗缺陷挖掘、全方位攻击方式和全覆盖测评场景等多个方面，都实现了很好的效果。它也是行业首个实现“模型鲁棒性”、“防伪全面性”、“链路安全性”、“隐私合规性”的全链路测评体系。

2.1 模型鲁棒性

注入式攻击是除了呈现式攻击外另一种常见的攻击方式。以生物识别为例，它指的是将一段视频或者照片注入到传感器数据中，让系统误认为是被攻击者自己的真实数据。注入式攻击往往要结合现在流行的DeepFake深度伪造算法、照片活化等AI技术，也是目前行业关注的重点。

对于此类的检测，关键就是对于深度伪造识别算法的鲁棒性评估。蚂蚁安全天筭实验室对行业开放了“蚁鉴”AI安全检测平台，内嵌了自研的AI安全计算引擎，配备了40余种国内外主流及自研的攻击算法模型，通过生成深度伪造数据和人脸对抗样本，能对生物识别算法的鲁棒性进行全面评估。

天玑与天筭两大实验室能力合作，利用该平台生成的全面大量的对抗样本，可以大规模进行识别鲁棒性检测，相比较于人工实际采集图片进行检测，不仅覆盖对抗类型全，而且检测速度快，成本低。

2.2 隐私合规性

隐私合规性检测是为加强对个人信息安全的保护，提高App信息安全保障能力与水平的又一类新型检测手段；依据多个规范性文件、国家标准，对隐私政策内容、个人信息收集与使用、用户权利保障等方面，进行全方位且高效的检测分析的过程。

结合蚂蚁集团自研的App隐私合规检测平台能力，我们将隐私合规性检测划分为基础合规、形式合规和实质合规三个维度、超过60个检测项，依托自动化源代码静态扫描，方法动态调用栈自动分析，请求自动化拦截和内容分析等技术自动找到敏感、冗余权限申明，越权行为，第三方SDK违规采集等问题点，最终输出综合性评估报告，助力企业监测违规风险。

2.3 链路安全性

链路安全性检测考量的是生物识别系统从硬件协议到系统应用，再到云端服务整个链条的安全性。由于市面上已经存在很多诸如替换视频、篡改图像等注入攻击手段，对系统的安全性造成了很大的威胁，天玑实验室联合蚂蚁集团安全攻防团队一起研究了主流黑灰产是如何从系统层面、SDK层面和协议层面进行侵入的。

以人脸识别为例：针对用户终端设备摄像头的攻击，在系统驱动层篡改摄像头获取的人脸信息，主要途径是利用黑产手中的手机虚拟视频刷机工具，通过刷入特定的程序来劫持相机、攻击人脸识别系统。链路安全性检测，立足防Root手机注入、防摄像头劫持、防篡改、不安全环境感知等多个方面，可以快速找到系统链路上的问题点，提前出预警提示，供送检方修复，具有极强的指导性。

2.4 防伪全面性

呈现式攻击一直是生物识别技术所面临的主要伪造手段。呈现式攻击指的是将人脸、指纹等攻击元素通过物理、屏幕呈现的方式进行攻击。指纹场景的呈现攻击，以假指纹制作后物理呈现为主。而人脸场景，攻击方式可以分为包含静态纸质与电子照片、动态图像或视频在内的二维呈现攻击，和包含面具、高精度头模在内的三维呈现攻击。

为了确保检测的全面性，天玑实验室拥有上百种指纹、人脸呈现材料，实验室测评车间还具备光照色温、光照强度、呈现距离、呈现角度等可控呈现条件。在一次呈现攻击中，为了在上亿种可能的呈现条件组合中找到攻击成功率最高的那个，我们引入了强化学习算法，让系统根据系统实时分数反馈，学习如何调整呈现距离、角度、光照强度、色温等条件，系统根据一段时间的对抗，可以快速找到最佳的呈现攻击组合条件，让系统真正学会像人一样去思考和检测。

这套面向生物识别场景的全链路安全可信检测的检测指标和度量体系，一方面是根据国内和国际标准设计，符合市场准入要求；另一方面，天玑实验室作为Google全球唯一“Android生物安全检测”官方合作实验室，已持续为全球超70%的安卓手机型号提供生物安全检测，丰富的检测实践也证明这套检测指标和度量衡具备科学性和全面性，可以实现从技术模型到功能设备的不遗漏检测，符合工业场景需求。

目前，这套全链路安全测评方案已成熟并面向行业开放，为国内头部知名手机厂商的旗舰手机、头部生物识别解决方案供应商提供检测服务。

未来趋势

未来，蚂蚁安全实验室在生物识别安全检测上会在几个方面持续投入。

第一，从对抗检测到对抗攻防。现在我们的检测结果最终产出往往是一份可量化的检测报告，对于被检测方来说，并不能直接有效地提升自己的安全水位。如何充分利用强人工智能，采用智能对抗、强化学习等技术，让检测方能够像人一样思考，同时被检测方也能够在实时对抗的过程中不断进化，以攻促防，才是我们做这个事情的根本目的。

检测设备强化学习

第二，从功能测评转向系统测评。一个完整的生物识别系统不仅仅是一个校验功能，往往还包括生物特征模板留存和更新策略、多因子认证机制、风险决策引擎等。仅仅对指纹或者人脸功能的检测，并不能代表系统的整体安全水位。如何结合智能对抗技术，找到不同环节和模块的漏洞，评估系统性风险，是值得探索的方向。

第三，生物识别安全中的社会责任。对于老年群体、残障群体等特殊人群，生物识别方式的安全性体现有所不同。例如视障群体面临的密码偷窥，非配合刷脸等风险。如何用技术检测生物识别产品对这类风险的防范程度，也是我们未来需要思考的问题。

实验室介绍：

蚂蚁集团攻坚领先安全科技，围绕智能风控、数据安全、数字身全、网络安全等重点领域持续投入，建立九大安全实验室。其中，蚂蚁安全天玑实验室致力于探索前沿生物识别安全技术，保护用户数字身份安全，提升行业安全水位，是谷歌全球唯一官方合作的“安卓生物识别安全”检测实验室。

更多内容，点击下方关注：

扫码添加 AI 科技评论微信号，投稿&进群：

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。

来源: qq

点击查看作者最近其他文章