仅仅靠一个3D面具就能攻克金融机构自测人脸识别防火墙
一家美国人工智能公司Kneron宣称已破解人脸识别支付系统,着实令国内互联网消费金融平台与信用卡机构“吓出一身冷汗”。
“这意味着他们也能以此盗用别人的脸,盗刷别人的信用卡或申请网络贷款。”一位信用卡机构人士认为。但事实上,要攻克信用卡与互联网消费金融机构的人脸识别系统,绝非易事。因为在用户通过人脸识别进行刷卡付款或申请消费贷款时,相关金融机构通常会鉴于安全考量,要求申请人完成眨眼、抬头、低头、摇头、张开嘴巴等活体检测动作,以此确保是借款人“本人”在进行刷卡付款或申请贷款操作。因此,Kneron仅仅靠一个3D面具就想攻克人脸识别安全系统,难度不小。“即便Kneron雇人将3D面具戴在头上,但相关金融机构只需将人脸识别+眼部虹膜辨别技术相结合,也能成功发现申请人是否在盗用别人的脸。”
在前述机构人士看来,Kneron之所以能“欺骗”支付宝和微信等诸多人脸识别支付系统完成购物支付程序,有可能是出现在小额便捷支付场景。因为这类场景基于客户体验提升与快捷支付的考量,对人脸识别的辨识要求未必很高——只要人脸识别系统所提取的用户面部特征,与联网公安部的公民身份数据库进行身份比对结果一致(没有过多的活体检测环节),就可能完成付款购物。
多位第三方支付机构风控技术部门人士也向记者透露,其实他们每天都在面对类似新技术的冲击。但事实上,很多新技术看似“很炫”,但只要掌握其操作诀窍,就能很快破解并确保支付安全。
值得注意的是,目前Kneron已下架破解人脸识别过程的视频。
Kneron破解刷脸只是侥幸?
对于Kneron通过特制的3D面具破解人脸识别支付系统,这些第三方支付机构风控技术部门人士也觉得不可思议。
究其原因,中国很多信用卡机构、第三方支付机构与互联网消费金融机构都针对人脸识别技术安全设立了多重风控防范措施。其中最普遍的做法,就是引入活体检测技术,即要求申请人在人脸识别过程,随机完成点头、摇头、抬头、眨眼、张嘴等动作,以此确定申请人不会利用照片或其他3D打印面具进行盗刷或骗贷。
甚至在网络信贷审核环节,不少消费金融平台还借助人脸识别里的“面部动作识别”技术,即观察申请人的微表情变化、眼神细微动作等,分析借款人表述的真实性,进而降低欺诈骗贷风险。
“事实上,金融机构的人脸识别技术还曾协助破获一起凶杀案件。”上述第三方支付机构风控技术部门主管透露。此前某位年轻女人遇害,凶手曾用遇害者的脸申请网络贷款,但相关平台在多次提醒申请人(也就是遇害者)眨眼、点头、摇头未果后,怀疑申请人“状况存疑”,因此向相关部门反映,协助经侦部门很快抓住凶手。
“Kneron之所以能通过特制的3D面具破解人脸识别支付系统,很可能是雇人戴上3D面具,在小额便捷支付场景蒙混过关,因为这类场景未必会让申请人完成大量活体检测动作,只要人脸识别系统所提取的用户面部特征,与联网公安部的公民身份数据库进行身份比对结果一致,就能快速通过购物付款审核。”他指出,但这意味着Kneron为此所付出的成本不低,因为3D面具一方面得栩栩如生,另一方面还得与使用者头部特征尽可能匹配,避免出现明显破绽。因此,除非Kneron通过一个特制3D面具能获得巨额的“盗刷”金额或网络信贷款,否则如此操作势必无利可图。
在上述信用卡领域的人士看来,即便Kneron所制作的3D面具侥幸通过活体检测审核环节,但金融机构依然有办法防范这类风险。比如金融机构完全可以将人脸识别+眼部虹膜辨别技术相结合进行申请人身份真实性判定,因为人工智能公司目前还很难“复制”一个人的眼部结构特征。
据他了解,Kneron也是尝试了很多次,才取得少量攻克人脸识别支付系统的成功案例,整体而言,这类操作成本很高且收效甚小,只能在一些小额便捷支付场景蒙混过关,很难大面积推广。
“这也是不少国内第三方支付机构对此底气十足的原因之一。”他认为。