Rethinking the Threat and Accessibility of Adversarial Attacks against Face Recognition Systems

人脸识别流程已广泛应用于各种关键系统中，以实现信任、公平和负责任的人工智能应用。然而，对抗攻击的出现威胁了整个识别流程的安全性。尽管提出了大量数字和物理形式的对抗样本制作攻击方法，但评估不同攻击的真实威胁水平并获得有用的洞察力，从而了解人脸识别系统面临的关键风险，从未是一项容易的任务。传统攻击认为保持扰动的隐蔽性是最重要的衡量标准，而我们怀疑行业专业人士可能持有不同的观点。在本文中，我们从行业和人脸识别应用的角度探讨了对抗攻击带来的威胁测量。与该领域广泛研究的复杂攻击相比，我们提出了一种名为AdvColor的有效但易于启动的物理对抗攻击，针对物理世界中的黑盒人脸识别流程。AdvColor通过在对抗光照下直接向系统提供印刷的人脸照片来欺骗识别流程中的模型。实验结果显示，物理AdvColor示例可以在反欺骗模型中实现超过96%的愚弄率，并且在人脸识别流程中实现88%的攻击成功率。我们还对当前对抗攻击的威胁，包括AdvColor，进行了一项调查，以了解机器测量和人类评估不同形式对抗攻击的威胁水平之间的差距。调查结果令人惊讶地表明，与故意发起的难以察觉的攻击相比，可察觉但易于访问的攻击对面向现实世界的商业人脸识别系统构成更致命的威胁。

本论文试图从工业和面部识别应用的角度，探讨对抗攻击带来的威胁，并提出一种易于启动的物理对抗攻击（AdvColor），以欺骗黑盒面部识别管道。

本论文提出了一种易于启动的物理对抗攻击AdvColor，用于欺骗黑盒面部识别管道。该攻击通过在对抗照明下直接向系统提供人脸的印刷照片来欺骗识别管道中的模型。

论文展示了物理对抗攻击AdvColor可以在欺骗识别管道的同时保持可感知性。实验结果表明，AdvColor示例可以在反欺骗模型中实现超过96%的欺骗率，在面部识别管道中实现88%的攻击成功率。此外，论文还进行了一项对当前对抗攻击威胁的调查，发现可感知但易于访问的攻击比难以察觉的攻击更具威胁性。

最近的相关研究包括： 1. Exploring Adversarial Examples in Physical World 2. Physical Adversarial Examples for Object Detectors 3. Adversarial Attacks and Defenses in Images, Graphs and Texts: A Review