一家美國人工智能公司Kneron宣稱已破解人臉識別支付系統,著實令國內互聯網消費金融平臺與信用卡機構“嚇出一身冷汗”。“這意味著他們也能以此盜用別人的臉,盜刷別人的信用卡或申請網絡貸款。”一位信用卡機構人士認為。
但事實上,要攻克信用卡與互聯網消費金融機構的人臉識別系統,絕非易事。因為在用戶通過人臉識別進行刷卡付款或申請消費貸款時,相關金融機構通常會鑑於安全考量,要求申請人完成眨眼、抬頭、低頭、搖頭、張開嘴巴等活體檢測動作,以此確保是借款人“本人”在進行刷卡付款或申請貸款操作。因此,Kneron僅僅靠一個3D面具就想攻克人臉識別安全系統,難度不小。“即便Kneron僱人將3D面具戴在頭上,但相關金融機構只需將人臉識別+眼部虹膜辨別技術相結合,也能成功發現申請人是否在盜用別人的臉。”
在前述機構人士看來,Kneron之所以能“欺騙”支付寶和微信等諸多人臉識別支付系統完成購物支付程序,有可能是出現在小額便捷支付場景。因為這類場景基於客戶體驗提升與快捷支付的考量,對人臉識別的辨識要求未必很高——只要人臉識別系統所提取的用戶面部特徵,與聯網公安部的公民身份數據庫進行身份比對結果一致(沒有過多的活體檢測環節),就可能完成付款購物。
多位第三方支付機構風控技術部門人士也向記者透露,其實他們每天都在面對類似新技術的衝擊。但事實上,很多新技術看似“很炫”,但只要掌握其操作訣竅,就能很快破解並確保支付安全。
值得注意的是,目前Kneron已下架破解人臉識別過程的視頻。
Kneron破解刷臉只是僥倖?
對於Kneron通過特製的3D面具破解人臉識別支付系統,這些第三方支付機構風控技術部門人士也覺得不可思議。
究其原因,中國很多信用卡機構、第三方支付機構與互聯網消費金融機構都針對人臉識別技術安全設立了多重風控防範措施。其中最普遍的做法,就是引入活體檢測技術,即要求申請人在人臉識別過程,隨機完成點頭、搖頭、抬頭、眨眼、張嘴等動作,以此確定申請人不會利用照片或其他3D打印面具進行盜刷或騙貸。
甚至在網絡信貸審核環節,不少消費金融平臺還藉助人臉識別裡的“面部動作識別”技術,即觀察申請人的微表情變化、眼神細微動作等,分析借款人表述的真實性,進而降低欺詐騙貸風險。
“事實上,金融機構的人臉識別技術還曾協助破獲一起兇殺案件。”上述第三方支付機構風控技術部門主管透露。此前某位年輕女人遇害,兇手曾用遇害者的臉申請網絡貸款,但相關平臺在多次提醒申請人(也就是遇害者)眨眼、點頭、搖頭未果後,懷疑申請人“狀況存疑”,因此向相關部門反映,協助經偵部門很快抓住兇手。
“Kneron之所以能通過特製的3D面具破解人臉識別支付系統,很可能是僱人戴上3D面具,在小額便捷支付場景矇混過關,因為這類場景未必會讓申請人完成大量活體檢測動作,只要人臉識別系統所提取的用戶面部特徵,與聯網公安部的公民身份數據庫進行身份比對結果一致,就能快速通過購物付款審核。”他指出,但這意味著Kneron為此所付出的成本不低,因為3D面具一方面得栩栩如生,另一方面還得與使用者頭部特徵儘可能匹配,避免出現明顯破綻。因此,除非Kneron通過一個特製3D面具能獲得鉅額的“盜刷”金額或網絡信貸款,否則如此操作勢必無利可圖。
在上述信用卡領域的人士看來,即便Kneron所製作的3D面具僥倖通過活體檢測審核環節,但金融機構依然有辦法防範這類風險。比如金融機構完全可以將人臉識別+眼部虹膜辨別技術相結合進行申請人身份真實性判定,因為人工智能公司目前還很難“複製”一個人的眼部結構特徵。
據他了解,Kneron也是嘗試了很多次,才取得少量攻克人臉識別支付系統的成功案例,整體而言,這類操作成本很高且收效甚小,只能在一些小額便捷支付場景矇混過關,很難大面積推廣。
“這也是不少國內第三方支付機構對此底氣十足的原因之一。”他認為。
閱讀更多 奇安信安全內參 的文章
