可信 AI 突破：移動(dòng)設(shè)備不僅要智能，還要安全

       人工智能有60多年的發(fā)展歷程，回溯一下，人工智能經(jīng)過(guò)了以知識(shí)驅(qū)動(dòng)，到以數(shù)據(jù)驅(qū)動(dòng)，走到了現(xiàn)在的以安全可控為核心的階段。
近七年來(lái)，螞蟻集團(tuán)不斷在AI的安全可信方向上深耕，把以可信AI為基礎(chǔ)的IMAGE風(fēng)控體系作為抵御數(shù)字時(shí)代風(fēng)險(xiǎn)的核心能力。        刷臉、指紋等生物識(shí)別技術(shù)生物識(shí)別的應(yīng)用離不開(kāi)深度學(xué)習(xí)AI的爆發(fā)式發(fā)展，如何保證生物識(shí)別中的AI安全可靠，成為了社會(huì)關(guān)注的焦點(diǎn)問(wèn)題。
       在前段時(shí)間的云棲大會(huì)上，螞蟻安全實(shí)驗(yàn)室旗下專(zhuān)攻終端設(shè)備生物核身安全性的天璣實(shí)驗(yàn)室，分享了可信AI技術(shù)的最新實(shí)踐——“基于智能對(duì)抗的生物識(shí)別全鏈路安全可信檢測(cè)技術(shù)”。
       伴隨智能終端的普及與人工智能技術(shù)在眾多領(lǐng)域的應(yīng)用，生物特征識(shí)別已成為移動(dòng)設(shè)備的標(biāo)配。但生物識(shí)別技術(shù)涉及計(jì)算機(jī)科學(xué)、光學(xué)與聲學(xué)、生物科學(xué)、安全技術(shù)及人工智能技術(shù)等眾多創(chuàng)新技術(shù)，其終端設(shè)備應(yīng)用又涉及底層硬件、芯片、傳感器到操作系統(tǒng)、應(yīng)用層、云端復(fù)核等多個(gè)鏈路環(huán)節(jié)，產(chǎn)業(yè)鏈上包含技術(shù)廠(chǎng)商、芯片廠(chǎng)商、設(shè)備廠(chǎng)商和應(yīng)用廠(chǎng)商等各類(lèi)生態(tài)，對(duì)技術(shù)領(lǐng)先性及安全性要求較高。
       為了提升生物識(shí)別技術(shù)的安全水位，近年來(lái)國(guó)家和相關(guān)企業(yè)聯(lián)盟推出了一系列安全標(biāo)準(zhǔn)，例如《信息技術(shù)移動(dòng)設(shè)備生物特征識(shí)別》國(guó)家標(biāo)準(zhǔn)，IIFAA（互聯(lián)網(wǎng)金融身份認(rèn)證聯(lián)盟）發(fā)起的《IIFAA本地免密技術(shù)規(guī)范》等。更進(jìn)一步，要確保一個(gè)生物識(shí)別系統(tǒng)滿(mǎn)足相關(guān)安全標(biāo)準(zhǔn)，則需要利用到安全檢測(cè)技術(shù)。
       螞蟻安全天璣實(shí)驗(yàn)室從2016年開(kāi)始投入生物識(shí)別安全檢測(cè)的技術(shù)研發(fā)，已經(jīng)獲得超50項(xiàng)國(guó)際專(zhuān)利，主導(dǎo)制定六項(xiàng)國(guó)際與國(guó)內(nèi)生物識(shí)別相關(guān)標(biāo)準(zhǔn)，并在2020年開(kāi)始與谷歌開(kāi)展針對(duì)智能設(shè)備的生物安全檢測(cè)，成為谷歌全球唯一官方合作的“Android生物識(shí)別安全檢測(cè)”實(shí)驗(yàn)室，面向智能設(shè)備的產(chǎn)業(yè)鏈廠(chǎng)商提供高精度生物安全檢測(cè)認(rèn)證能力。
       天璣實(shí)驗(yàn)室自研的這一套智能終端設(shè)備“生物安全檢測(cè)認(rèn)證體系”，基于多年的行業(yè)檢測(cè)實(shí)踐，走過(guò)了三代技術(shù)演變和體系創(chuàng)新。        【1.0人工檢測(cè)時(shí)代】主要依賴(lài)人工經(jīng)驗(yàn)和人工測(cè)試手段，可以做到對(duì)系統(tǒng)的關(guān)鍵功能進(jìn)行測(cè)試，但受限于人工成本高，無(wú)法做到大規(guī)模測(cè)試得到具有統(tǒng)計(jì)意義的量化結(jié)果，也無(wú)法保證測(cè)試過(guò)程標(biāo)準(zhǔn)化。
       【2.0自動(dòng)化檢測(cè)時(shí)代】依托計(jì)算機(jī)視覺(jué)算法+機(jī)械臂自動(dòng)化控制技術(shù)，螞蟻安全天璣實(shí)驗(yàn)室在2020年發(fā)布的“全自動(dòng)生物安全評(píng)測(cè)系統(tǒng)”，這套體系會(huì)給每臺(tái)檢測(cè)設(shè)備提供超過(guò) 20萬(wàn)次的測(cè)試程序，實(shí)現(xiàn)毫米級(jí)的測(cè)試精度，并且測(cè)試過(guò)程0人工干預(yù)，可以做到測(cè)試結(jié)果可量化，測(cè)試過(guò)程可復(fù)現(xiàn)。
       【3.0智能對(duì)抗檢測(cè)時(shí)代】近年來(lái)生物識(shí)別面臨了很多新型安全挑戰(zhàn)，例如基于AI的深度偽造、制作更精細(xì)3D頭模呈現(xiàn)攻擊，AI對(duì)抗樣本攻擊等。如何讓檢測(cè)系統(tǒng)能夠像人一樣去思考，利用反饋信息實(shí)時(shí)對(duì)抗找出潛在的安全漏洞，是幫助生物識(shí)別系統(tǒng)抵御新型攻擊的關(guān)鍵方向。為此，螞蟻安全實(shí)驗(yàn)室提出了基于智能對(duì)抗的生物安全檢測(cè)技術(shù)，從“防偽全面性、模型魯棒性、鏈路安全性、隱私合規(guī)性”的四個(gè)方面提供檢測(cè)能力。生物安全檢測(cè)也邁入了基于智能對(duì)抗的3.0時(shí)代。

       升級(jí)之后的智能終端設(shè)備“生物安全檢測(cè)認(rèn)證體系”，在高精度測(cè)評(píng)結(jié)果、智能對(duì)抗缺陷挖掘、全方位攻擊方式和全覆蓋測(cè)評(píng)場(chǎng)景等多個(gè)方面，都實(shí)現(xiàn)了很好的效果。它也是行業(yè)首個(gè)實(shí)現(xiàn)“模型魯棒性”、“防偽全面性”、“鏈路安全性”、“隱私合規(guī)性”的全鏈路測(cè)評(píng)體系。
       2.1 模型魯棒性
       注入式攻擊是除了呈現(xiàn)式攻擊外另一種常見(jiàn)的攻擊方式。以生物識(shí)別為例，它指的是將一段視頻或者照片注入到傳感器數(shù)據(jù)中，讓系統(tǒng)誤認(rèn)為是被攻擊者自己的真實(shí)數(shù)據(jù)。注入式攻擊往往要結(jié)合現(xiàn)在流行的DeepFake深度偽造算法、照片活化等AI技術(shù)，也是目前行業(yè)關(guān)注的重點(diǎn)。
       對(duì)于此類(lèi)的檢測(cè)，關(guān)鍵就是對(duì)于深度偽造識(shí)別算法的魯棒性評(píng)估。螞蟻安全天筭實(shí)驗(yàn)室對(duì)行業(yè)開(kāi)放了“蟻鑒”AI安全檢測(cè)平臺(tái)，內(nèi)嵌了自研的AI安全計(jì)算引擎，配備了40余種國(guó)內(nèi)外主流及自研的攻擊算法模型，通過(guò)生成深度偽造數(shù)據(jù)和人臉對(duì)抗樣本，能對(duì)生物識(shí)別算法的魯棒性進(jìn)行全面評(píng)估。
       天璣與天筭兩大實(shí)驗(yàn)室能力合作，利用該平臺(tái)生成的全面大量的對(duì)抗樣本，可以大規(guī)模進(jìn)行識(shí)別魯棒性檢測(cè)，相比較于人工實(shí)際采集圖片進(jìn)行檢測(cè)，不僅覆蓋對(duì)抗類(lèi)型全，而且檢測(cè)速度快，成本低。        2.2 隱私合規(guī)性
       隱私合規(guī)性檢測(cè)是為加強(qiáng)對(duì)個(gè)人信息安全的保護(hù)，提高App信息安全保障能力與水平的又一類(lèi)新型檢測(cè)手段；依據(jù)多個(gè)規(guī)范性文件、國(guó)家標(biāo)準(zhǔn)，對(duì)隱私政策內(nèi)容、個(gè)人信息收集與使用、用戶(hù)權(quán)利保障等方面，進(jìn)行全方位且高效的檢測(cè)分析的過(guò)程。
       結(jié)合螞蟻集團(tuán)自研的App隱私合規(guī)檢測(cè)平臺(tái)能力，我們將隱私合規(guī)性檢測(cè)劃分為基礎(chǔ)合規(guī)、形式合規(guī)和實(shí)質(zhì)合規(guī)三個(gè)維度、超過(guò)60個(gè)檢測(cè)項(xiàng)，依托自動(dòng)化源代碼靜態(tài)掃描，方法動(dòng)態(tài)調(diào)用棧自動(dòng)分析，請(qǐng)求自動(dòng)化攔截和內(nèi)容分析等技術(shù)自動(dòng)找到敏感、冗余權(quán)限申明，越權(quán)行為，第三方SDK違規(guī)采集等問(wèn)題點(diǎn)，最終輸出綜合性評(píng)估報(bào)告，助力企業(yè)監(jiān)測(cè)違規(guī)風(fēng)險(xiǎn)。
       2.3 鏈路安全性
       鏈路安全性檢測(cè)考量的是生物識(shí)別系統(tǒng)從硬件協(xié)議到系統(tǒng)應(yīng)用，再到云端服務(wù)整個(gè)鏈條的安全性。由于市面上已經(jīng)存在很多諸如替換視頻、篡改圖像等注入攻擊手段，對(duì)系統(tǒng)的安全性造成了很大的威脅，天璣實(shí)驗(yàn)室聯(lián)合螞蟻集團(tuán)安全攻防團(tuán)隊(duì)一起研究了主流黑灰產(chǎn)是如何從系統(tǒng)層面、SDK層面和協(xié)議層面進(jìn)行侵入的。
       以人臉識(shí)別為例：針對(duì)用戶(hù)終端設(shè)備攝像頭的攻擊，在系統(tǒng)驅(qū)動(dòng)層篡改攝像頭獲取的人臉信息，主要途徑是利用黑產(chǎn)手中的手機(jī)虛擬視頻刷機(jī)工具，通過(guò)刷入特定的程序來(lái)劫持相機(jī)、攻擊人臉識(shí)別系統(tǒng)。鏈路安全性檢測(cè)，立足防Root手機(jī)注入、防攝像頭劫持、防篡改、不安全環(huán)境感知等多個(gè)方面，可以快速找到系統(tǒng)鏈路上的問(wèn)題點(diǎn)，提前出預(yù)警提示，供送檢方修復(fù)，具有極強(qiáng)的指導(dǎo)性。
       2.4 防偽全面性
       呈現(xiàn)式攻擊一直是生物識(shí)別技術(shù)所面臨的主要偽造手段。呈現(xiàn)式攻擊指的是將人臉、指紋等攻擊元素通過(guò)物理、屏幕呈現(xiàn)的方式進(jìn)行攻擊。指紋場(chǎng)景的呈現(xiàn)攻擊，以假指紋制作后物理呈現(xiàn)為主。而人臉場(chǎng)景，攻擊方式可以分為包含靜態(tài)紙質(zhì)與電子照片、動(dòng)態(tài)圖像或視頻在內(nèi)的二維呈現(xiàn)攻擊，和包含面具、高精度頭模在內(nèi)的三維呈現(xiàn)攻擊。
       為了確保檢測(cè)的全面性，天璣實(shí)驗(yàn)室擁有上百種指紋、人臉呈現(xiàn)材料，實(shí)驗(yàn)室測(cè)評(píng)車(chē)間還具備光照色溫、光照強(qiáng)度、呈現(xiàn)距離、呈現(xiàn)角度等可控呈現(xiàn)條件。在一次呈現(xiàn)攻擊中，為了在上億種可能的呈現(xiàn)條件組合中找到攻擊成功率最高的那個(gè)，我們引入了強(qiáng)化學(xué)習(xí)算法，讓系統(tǒng)根據(jù)系統(tǒng)實(shí)時(shí)分?jǐn)?shù)反饋，學(xué)習(xí)如何調(diào)整呈現(xiàn)距離、角度、光照強(qiáng)度、色溫等條件，系統(tǒng)根據(jù)一段時(shí)間的對(duì)抗，可以快速找到最佳的呈現(xiàn)攻擊組合條件，讓系統(tǒng)真正學(xué)會(huì)像人一樣去思考和檢測(cè)。        這套面向生物識(shí)別場(chǎng)景的全鏈路安全可信檢測(cè)的檢測(cè)指標(biāo)和度量體系，一方面是根據(jù)國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)設(shè)計(jì)，符合市場(chǎng)準(zhǔn)入要求；另一方面，天璣實(shí)驗(yàn)室作為Google全球唯一“Android生物安全檢測(cè)”官方合作實(shí)驗(yàn)室，已持續(xù)為全球超70%的安卓手機(jī)型號(hào)提供生物安全檢測(cè)，豐富的檢測(cè)實(shí)踐也證明這套檢測(cè)指標(biāo)和度量衡具備科學(xué)性和全面性，可以實(shí)現(xiàn)從技術(shù)模型到功能設(shè)備的不遺漏檢測(cè)，符合工業(yè)場(chǎng)景需求。
目前，這套全鏈路安全測(cè)評(píng)方案已成熟并面向行業(yè)開(kāi)放，為國(guó)內(nèi)頭部知名手機(jī)廠(chǎng)商的旗艦手機(jī)、頭部生物識(shí)別解決方案供應(yīng)商提供檢測(cè)服務(wù)。


       未來(lái)，螞蟻安全實(shí)驗(yàn)室在生物識(shí)別安全檢測(cè)上會(huì)在幾個(gè)方面持續(xù)投入。
       第一，從對(duì)抗檢測(cè)到對(duì)抗攻防�，F(xiàn)在我們的檢測(cè)結(jié)果最終產(chǎn)出往往是一份可量化的檢測(cè)報(bào)告，對(duì)于被檢測(cè)方來(lái)說(shuō)，并不能直接有效地提升自己的安全水位。如何充分利用強(qiáng)人工智能，采用智能對(duì)抗、強(qiáng)化學(xué)習(xí)等技術(shù)，讓檢測(cè)方能夠像人一樣思考，同時(shí)被檢測(cè)方也能夠在實(shí)時(shí)對(duì)抗的過(guò)程中不斷進(jìn)化，以攻促防，才是我們做這個(gè)事情的根本目的。        第二，從功能測(cè)評(píng)轉(zhuǎn)向系統(tǒng)測(cè)評(píng)。一個(gè)完整的生物識(shí)別系統(tǒng)不僅僅是一個(gè)校驗(yàn)功能，往往還包括生物特征模板留存和更新策略、多因子認(rèn)證機(jī)制、風(fēng)險(xiǎn)決策引擎等。僅僅對(duì)指紋或者人臉功能的檢測(cè)，并不能代表系統(tǒng)的整體安全水位。如何結(jié)合智能對(duì)抗技術(shù)，找到不同環(huán)節(jié)和模塊的漏洞，評(píng)估系統(tǒng)性風(fēng)險(xiǎn)，是值得探索的方向。
       第三，生物識(shí)別安全中的社會(huì)責(zé)任。對(duì)于老年群體、殘障群體等特殊人群，生物識(shí)別方式的安全性體現(xiàn)有所不同。例如視障群體面臨的密碼偷窺，非配合刷臉等風(fēng)險(xiǎn)。如何用技術(shù)檢測(cè)生物識(shí)別產(chǎn)品對(duì)這類(lèi)風(fēng)險(xiǎn)的防范程度，也是我們未來(lái)需要思考的問(wèn)題。