中国新闻网|人脸识别设备也“脸盲”，360AI安全研究院揭秘人工智能三大痛点中新网8月26日电自人脸识别设备进入民

中新网8月26日电自人脸识别设备进入民用市场以来，就一直备受争议——它安全吗？这个答案在一场大会中得到解释。 “我们最终可以在一些人脸识别设备中实现任意人员都能通过验证的效果。 ”360 AI安全研究院研究员刘昭在ISC 2020大会上讲到。
据了解， 360 AI安全研究院隶属于360未来安全研究院，一直专注于人工智能与安全的前沿技术研究，涉及AI基础设施安全、AI算法安全、AI数据安全等方向的研究工作。在AI基础设施安全方面，目前已累计发现100多个人工智能基础软硬件漏洞。
此外， 360AI安全研究院曾联合清华、西安交大的研究人员发现AI应用中图像缩放模块存在的漏洞，提出了一种新型的数据流降维攻击方法，影响了国内外主流的AI云服务。这一研究成果发表在信息安全领域顶级国际会议USENIX Security上。
【中国新闻网|人脸识别设备也“脸盲”，360AI安全研究院揭秘人工智能三大痛点】在此次ISC 2020 大会的人工智能与安全论坛上，刘昭以某款人脸识别设备能让任意人通过为例，说明不仅AI算法存在漏洞，其所依赖的关键基础设施也同样会被攻击，并进一步揭露了AI关键基础设施存在的安全风险。
【中国新闻网|人脸识别设备也“脸盲”，360AI安全研究院揭秘人工智能三大痛点】白帽黑客“骗过”人脸识别设备
2017年底，工业和信息化部发布的《促进新一代人工智能产业发展三年行动计划(2018-2020年)》中提出， 2020年，复杂动态场景下人脸识别有效检出率超过97% ，正确识别率超过90% 。
也是在这一年，刷脸支付入选《麻省理工科技评论》的全球十大突破性技术榜单，苹果新品iPhoneX发布的FaceID ，更是将人脸识别技术推向高潮。
3年来，对人脸识别技术的安全风险讨论已经不计其数。在ISC 2020大会上， 360 AI安全研究院介绍了某款人脸识别设备存在的诸多安全问题，比如给终端特定的端口发送一些后门指令，终端设备在接收云端数据时存在栈溢出问题，以及在云端服务器部分存在未授权访问、目录穿越等风险。
正是通过攻击上述漏洞，最终可以在某人脸识别设备中实现任意人员都能通过验证的效果。
值得关注的是，这种攻击不是针对AI算法的攻击，而是对AI算法所依赖的基础设施进行的攻击。 “针对基础设施攻击，最终可能会更快达到攻击效果。 ”刘昭在演讲中表示，大多数研究人员偏向于对算法安全的研究，比如对抗样本攻击、后门攻击等。虽然AI基础设施安全风险巨大，其严重性却容易被忽视。
这正是刘昭在ISC 2020 大会上演讲的主题——AI关键基础设施安全风险。据介绍， AI基础设施主要分为三个关键部分：首先是深度学习框架，包含框架自身代码实现、第三方图象处理库、算子库等；其次是硬件相关，包含GPU驱动、芯片安全等；最后是云平台，包含虚拟化、web平台等。
AI关键基础设施面临三重风险
据介绍， AI关键基础设施的三个层面都面临一定安全风险。
针对深度学习框架安全风险。刘昭解释称，深度学习框架主要可以划分为云端学习框架和终端学习框架。云端框架安全风险主要来自于自身代码的实现以及第三方的依赖库问题；终端框架安全风险主要存在于模型网络参数、模型网络结构，以及模型转换过程。据了解， 360 AI安全研究院已经在多个深度学习框架及其依赖组件中发现了100多个漏洞，如OpenCV ， hdf5 ， numpy等。
针对硬件相关的安全风险。据英伟达官网统计，截至今年7月，关于GPU驱动漏洞的数目达到数百个；芯片漏洞以幽灵、熔断为例，幽灵漏洞可以造成泄露敏感数据、执行特定代码，熔断漏洞导致用户态获取特权内存的数据，这些漏洞影响了Intel、部分ARM的处理器。
针对云平台的安全风险。 360 AI安全研究院表示，用于深度学习任务的节点性能强大，因此总会有一些攻击者想要非法使用这些资源进行挖矿。比如，今年6月，微软通报部分Kubeflow存在未授权访问的问题，导致大量设备被非法挖矿。攻击者可以未授权访问Kubeflow的控制面板，通过各种方法部署带有挖矿程序的容器。