近日,你应该看到了社交媒体上对于网站 ThisPersonDoesNotExist.com,生成无数不存在人脸的铺天盖地的消息,以及杨幂换朱茵的假脸图像。一方面,这说明,AI 技术的火正从专业人士那里不知不觉发展到了频繁上热搜的时期,但另一方面强势的 AI 技术发展带给了大众更大的恐慌情绪。
从假人脸、假人声到假消息,AI 利用来自人类世界的数据集,正在创造一个以假乱真的仿真世界。
从人类的视角来看,AI 技术带来的这些前所未有的创造力是一种威胁,是为“假”,但换个角度,AI 正在创造的“仿真”人类信息世界,可能正给人们带来在面对未来时更大的困惑和不安全感。
在这里要重申:AI 正在创造一个独特的虚拟(虚假)信息世界。
除了众所周知的 Deepfake 这样的换脸技术外,今天要介绍的是与人们息息相关的指纹,它被广泛应用于指纹锁、手机、安检等应用场景中,有极高的安全等级。但如今指纹也开始能被 AI 技术“复制”了,由 AI 合成的指纹能轻松骗过识别的扫描仪。
这个叫 DeepMasterPrints 的系统,确实像是跟 Deepfake 来自同一个世界,在由 AI 创造太过逼真的事物上,业内人士一般都喜欢加个前缀“Deep”。
DeepMasterPrints 系统由纽约大学工程学院的 5 位研究人员开发,其研究于去年 10 月在洛杉矶举行的生物测量学会议上发表,主要可以用人工智能来制作虚假的指纹,它可以以假乱真,轻松“骗过”生物识别扫描仪(或人眼)。
研究人员称,DeepMasterPrints 在一个系统中复制了 23% 的人类指纹部分,错误率为千分之一。而当错误匹配率达到百分之一时,DeepMasterPrints 能在 77% 的情况下模拟真实指纹骗取扫描仪的“信任” 。
这些合成指纹在“骗”过存有许多指纹的系统时可能很有效(不同于你手机中的指纹记录,它可能只记录了几个数字),DeepMasterPrints 开发的工具进行运行几个假指纹,通过系统查看是否有任何指纹与任何用户账户匹配。攻击者可能通过反复试验获得更多成功的机会,类似于黑客对密码进行暴力或字典攻击的破解方式,不是通过系统运行数百万流行密码的软件。
具体而言,其背后的技术原理是,通常研究人员采用两种生成对抗网络 GAN 组合在真实图像中使用,其中一个神经网络,使用公开、可用的指纹图像,训练神经网络识别真的指纹图像,然后用另一套神经网络,训练创建生成伪造指纹。
研究人员解释,可以将第二个神经网络的假指纹图像输入第一个神经网络中以测试仿真程度。随着时间的推移,第二个神经网络则会“学习”生成逼真的指纹图像,最终骗过人眼和扫描仪。
DeepMasterPrints 正是利用了生物识别指纹系统中的两个缺陷。首先,大多数指纹识别仪器在扫描时不会对整个指纹进行扫描,而只是对指纹的一部分上进行匹配;其次,多数设备允许用户提交多个指纹图像,匹配其中任何一部分,便可以确认用户身份。这使得由 AI 伪造的指纹更容易骗过指纹扫描仪。
带有训练网络的潜在变量演化。左边是 CMA-ES 的高级概述,右边的方框表明如何计算潜在变量。
这样一个系统是如何创建的?根据论文描述,为了开发 DeepMasterPrint,研究人员将生成器的潜在变量演化为最优值。生成器的输入称为潜在变量,因为它们对网络输出的影响只能通过观察到的图像来进行理解。由于网络以 100 个潜在变量作为输入,那最优解是 100 维空间中的一个点。
如上图所示,LVE(Latent Variable Evolution,潜在变量演化技术) 对这些点进行采样,将它们转换为图像,然后对图像进行评分,以了解最佳点随时间的分布情况。这些最佳点是 DeepMasterPrint 的基因型,然后可以映射到图像上。
LVE 可以使用任何进化算法(或其他随机全局优化器)来搜索潜在空间。进化算法不需要梯度,因此这是黑盒优化的理想方法。在这个域中,匹配器可以报告匹配了多少身份(不同的指纹)以及相应匹配率,至于如何得到这些结果的却并不提供任何信息。
梯度没有显示 DeepMasterPrint 的哪个像素效果最好或最差。由于 LVE 的适应度得分是身份匹配的数量,因此适应度景观(fitness landscape)是不连续的。由于卷积网络的层次性,潜在变量也是不可独立分离的。
研究人员的这篇论文像是给了黑客破解指纹锁的密码,但他们告诉 Gizmodo,如果没有验证生物识别是否来自真人,很多这些对抗性攻击都有可能发生,希望他们的研究能加强指纹安全工作,推动生物识别传感器中的活体检测。
不过,AI 技术的两面性在于道高一尺魔高一丈,不知道潘多拉魔盒完全打开后,还会如何“解锁”当下的物理世界,给人类更大的意想不到的震撼。