Исследователи из Центра искусственного интеллекта МГУ имени М.В. Ломоносова представили результаты работы, посвященной анализу устойчивости систем распознавания лиц к новым типам вмешательства. Ученые применили гибридный сценарий физической dodging-атаки, при котором цифровой патч отображается непосредственно на дисплее смартфона. Такой подход не требует печати специальных носителей и позволяет обходить защиту, не имея доступа к внутренним параметрам целевой системы (black-box атака).
Для генерации атакующих патчей авторы использовали ансамбль передовых моделей распознавания лиц. Применение механизма median-pooling позволило создавать изображения высокого разрешения даже с учетом технических ограничений используемых нейросетей. Экспериментальная проверка проводилась на двух онлайн-сервисах, а также на реальной камере контроля доступа.
Результаты показали, что система продолжает корректно детектировать присутствие человека, однако процесс подтверждения личности, имеющей право на доступ, блокируется. Успешность обхода верификации на коммерческом оборудовании достигла 56%, что стало новым показателем эффективности для атак на закрытые системы с неизвестной архитектурой.
Как пояснил Дмитрий Ватолин, старший научный сотрудник Центра ИИ МГУ, сам факт использования мобильного устройства в качестве носителя цифрово-физического патча создает дополнительные риски для инфраструктурных объектов. По его словам, этот фактор необходимо учитывать при тестировании надежности систем верификации, применяемых в реальной среде.
Ранее Наука Mail рассказывала про способ, который способен полностью удалить биометрический след из систем распознания лиц.
