Исследователи из Центра искусственного интеллекта МГУ обнаружили новый способ нарушения работы коммерческих систем распознавания лиц с помощью экрана смартфона. В ходе эксперимента ученым удалось достичь 56% успешных атак на реальную камеру закрытой системы, что является рекордным показателем для black-box сценариев, где внутреннее устройство модели неизвестно.
Работа, представленная на конференции PerCom в Италии, демонстрирует гибридный метод атаки: специально сгенерированное цифровое изображение, так называемый «патч», выводится на экран мобильного устройства. В отличие от предыдущих физических атак, использующих распечатанные изображения, этот подход не требует печати и может применяться без доступа к параметрам целевой системы.
Для создания патчей ученые использовали ансамбль современных моделей распознавания лиц, что позволило добиться эффективности при взаимодействии с коммерческим оборудованием. Примененный механизм median-pooling дал возможность формировать патчи высокого разрешения, обходя ограничения входных размеров нейросетей.
Эксперименты проводились на двух онлайн-сервисах и реальной коммерческой камере контроля доступа. Ключевая особенность атаки заключается в том, что система продолжает корректно определять присутствие лица, но при этом не может подтвердить личность человека, имеющего право доступа.
По словам старшего научного сотрудника Центра ИИ МГУ Дмитрия Ватолина, такой сценарий демонстрирует уязвимость, которую важно учитывать при тестировании защищенности инфраструктурных систем распознавания.