GeekPwn对抗样本挑战赛冠军队伍开源人脸识别攻击解决方案

10 月 24 日，2018 GeekPwn 国际安全极客大赛在上海展开，由 FAIR 研究工程师 吴育昕 、约翰霍普金斯大学在读博士谢慈航组成的团队获得了令人瞩目的 CAAD CTF 冠军 。近日，该冠军队伍开源了其在 人脸识别 攻击项目中的解决方案。

2018 Geekpwn CAAD（对抗样本挑战赛）继承了 NIPS CAAD 2017 比赛的形式，但同时也添加了一些新的挑战。2018 年 10 月，吴育昕和谢慈航受邀参加 Geekpwn CAAD CTF，这是一场展示不同类型对抗样本攻防的现场比赛。

比赛上半场中，赛会要求所有选手进行非定向图片（将飞行器识别为任何其他物体）、定向图片（将武器识别为特定的其他物品）以及亚马逊名人鉴别系统（将大赛主持人蒋昌建的照片识别为施瓦辛格）共计三种图像的对抗样本攻击。由于在比赛前选手并不知晓题目模型所采用的算法，所以此类攻击也被称为「黑盒攻击」，其中第三个挑战在赛前更是被评委视为「无法完成的任务」。

第三项挑战是一项新挑战，要求参赛队伍攻击未知的人脸识别系统。在限时 30 分钟的上半场比赛中，参赛者拿到大赛主持人蒋昌建的照片。他们需要对照片做一些小的修改，以欺骗人脸识别系统，让它把照片中的人识别为施瓦辛格。比赛结束后，大家才知道该人脸识别系统是亚马逊名人鉴别系统。

由吴育昕与谢慈航组成的「IYSWIM」战队在限时 30 分钟的比赛中，首先于 21 分钟破解了亚马逊名人鉴别系统 Celebrity Recognition，并随后在定向图片的对抗样本攻击上破解成功，取得了领先。

近日，吴育昕在博客中简单介绍了他们对人脸识别的攻击，代码也放到了 GitHub 上。吴育昕称他们对比赛其他类型的攻击使用的是类似的算法，只是换了不同的 CNN。而关于比赛下半段防御相关内容的 paper 将稍后放出，代码和模型将于明年开源。

攻击方法

吴育昕在博客中称其黑盒攻击是很传统的方法，即用已知模型做梯度下降。

在相关的 GitHub repo 中，我们可以看到该团队的攻击代码和结果：

结果

比赛期间，吴育昕团队成功地攻击了AWS名人鉴别系统，让它把蒋昌建识别为了施瓦辛格。

下面这个挑战比较困难（不同随机种子的成功率较低），可能是因为：1）原人物和目标人物都是美国名人。2）性别不同。

很明显，Azure Vision API 和 Clarifai Celebrity Recognition 系统都可以被欺骗：

以上图像的原版本和对抗版本都可以从以下地址找到，若有兴趣你可以下载并在公开 API 上进行测试： https://github.com/ppwwyyxx/Adversarial-Face-Attack/blob/master/images

使用代码的准备工作

1. 安装 TensorFlow ≥ 1.7

2. 按照 facenet wiki 中的步骤 1 - 4 设置 facenet （https://github.com/davidsandberg/facenet/wiki/Validate-on-LFW）

3. 复制此 repo 并解压内部的预训练模型：

git clone https://github.com/ppwwyyxx/Adversarial-Face-Attack
cd Adversarial-Face-Attack
wget https://github.com/ppwwyyxx/Adversarial-Face-Attack/releases/download/v0.1/model-20180402-114759.tar.bz2
tar xjvf model-20180402-114759.tar.bz2

你也可以从 facenet 下载模型（ https://github.com/davidsandberg/facenet#pre-trained-models ）。

4. 验证模型和数据集：

./face_attack.py --data /path/to/lfw_mtcnnpy_160 --validate-lfw
# /path/to/lfw_mtcnnpy_160 is obtained above in step #4 in facenet wiki.

它应该在 LFW 数据集上有高准确率，如：

<mark data-type="technologies" data-id="8be77eae-12da-4e9e-9a88-b7f5bae98c2e">Accuracy</mark>: 0.99517+-0.00361
Validation rate: 0.97467+-0.01454 @ FAR=0.00067

执行攻击

./face_attack.py --data /path/to/lfw_mtcnnpy_160 \
    --attack images/clean-JCJ.png \
    --target Arnold_Schwarzenegger \
    --output JCJ-to-Schwarzenegger.png

--target 必须是在 LFW 数据集中有很多图像（越多越好）的人。可以通过以下方式找到这种人：

find /path/to/lfw_mtcnnpy_160/ -type f -printf "%h\0" | \
    xargs -0 -L1 basename | sort | uniq -c | sort -k1 -n 

你可以在 LFW 目录中添加新的名人作为 victim，或者为 LFW 中现有的名人添加图像。添加新图像之后，你需要重复 facenet wiki 中的步骤 4，以裁剪和对齐添加的新图像。

请注意，攻击包含随机性：你不会每次都得到相同的输出。

• 博客地址： http://ppwwyyxx.com/2018/Geekpwn-CAAD-CTF/

• GitHub 地址： https://github.com/ppwwyyxx/Adversarial-Face-Attack