阿里安全X實驗室最新黑科技：「人臉識別」3.0版可毫秒識破假人臉

4 人贊了文章

基本身份信息加一張清晰的個人面部照片，就可讓一名熟悉3D軟體的技術人員完成「眨眼、搖頭、張口」等動作指令，實現一次線上實人「刷臉認證」。

4月26日，阿里巴巴安全部圖靈實驗室技術專家遠檸在第五屆首都網路安全日活動現場，向記者首度揭秘了一項最新前沿黑科技，「人臉識別技術」3.0版——「1：1人臉驗證」技術能在毫秒級時間內，快速識破假人臉認證。

人臉識別已被廣泛應用於政務、金融、消費等多元場景，安全專家發出警示稱，黑灰產從業者可利用軟體技術將個人照片合成3D視頻等手段，對用戶賬號實施攻擊完成作弊。

如通過3D合成「假臉」認證賬號註冊或登陸後，黑灰產人員可在受害人毫不知情的情況下，用於黑卡虛假註冊、刷單、薅羊毛、詐騙等不法行為。這類現象覆蓋了常見的交友、購物、網約車、網貸乃至線上政務系統等領域，其危害性可見一斑。

3D合成「假臉」盜刷駕照分 司機毫不知情

去年11月下旬，活體攻擊技術人員梁某、張某等6 名嫌疑人，被警方以「侵犯公民身份信息罪」批捕。

阿里安全圖靈實驗室負責人薛暉介紹稱，該犯罪團伙通過3D軟體控制人臉照片進行攻擊操作，盜取受害人駕照分。團伙成員在作案過程中，被阿里安全圖靈實驗室人臉驗證技術快速發現。

據悉，該案中，嫌疑人共利用上述方式發起過幾百次攻擊，導致近百名受害人駕照分被盜刷。事後，警方在犯罪嫌疑人梁某電腦上，還發現了近200萬條公民個人信息。

「他們往往選擇受害人在駕照證件清分交替周期作案，受害人也根本無法覺察。」阿里安全專家穎達介紹稱，目前「3D軟體合成」是目前灰產進行惡意攻擊的主流方式。

使用最少一張最多三張普通正面照片，再加上姓名、身份證號等信息，通過正規3D軟體編輯靜態圖片合成動態視頻等流程，即可在通過防禦性較低的平台認證。

通過實人認證的賬號，如果用於網約車平台上霸佔派單流量，服務費約為100元-150元/個；如果用於網貸平台進行惡意貸款，每個賬號價格可達千元以上。

演算法升級 阿里黑科技可毫秒識別假人臉

阿里安全圖靈實驗室負責人薛暉介紹，阿里巴巴使用的「「1：1人臉驗證」」人臉驗證產品，採用了動作檢測和數據模型深度學習來綜合判斷風險。

該技術產品已應用於所有阿里系平台，面對線上經常碰到用戶提交材料不規範，造假等複雜情況，通過深度學習能認證出98.31%的人臉，誤檢率低於十萬分之一，並有效識別PS、三維換臉等軟體。

當演算法模型遇到難以判定的認證情況時，還會有人工介入進行審核，保障準確性。截止目前，該技術識別能力仍保持「零失誤」紀錄。

「利用照片、視頻等冒充的圖像，與活體人臉從外觀到溫度、皮膚紋理、微表情、微姿態等均有差異」，薛暉介紹，阿里實人認證產品能通過嘴形識別、臉運動匹配感測器、臉外觀匹配照明、焦距恢復形狀、人臉連續性檢測、人臉視頻脈搏檢測等技術，在毫秒級時間內揪出假人臉，讓作弊者無處遁形。

「就像在燈下行走，黑灰產是身後的影子」，薛暉說，每天淘寶都會面臨近400萬次惡意嘗試登錄，與黑灰產的攻防似乎永無止境，每次技術前進一點，攻擊的手段也會隨後更新。

「世上沒有絕對的安全」，阿里巴巴首席風險官鄭俊芳說，十餘年來，3000阿里安全人構建起了遠高於同行業安全水位的防線，並防住了時刻都在發生的攻擊，但作為全球性化的電子商務平台，網路安全挑戰永無止境。「只有讓技術更進步，讓模型更智能，才能持續提供更可靠的服務，保護更多的消費者」。

作者：華蒙，轉載自雲棲社區

推薦閱讀：