非自适应对抗性人脸生成

摘要

针对人脸识别系统（FRSs）的对抗攻击构成了严重的安全与隐私威胁，尤其是在这些系统用于身份验证的场景中。本文提出了一种生成对抗性人脸的新方法——即合成在视觉上不同但被FRS识别为目标身份的人脸图像。与基于迭代优化的方法（如梯度下降或其他迭代求解器）不同，我们的方法利用了FRS特征空间的结构特性。我们发现共享相同属性（如性别或种族）的个体形成一个属性子球。通过利用此类子球，我们的方法实现了非自适应性和极少的查询次数。这消除了对迁移性和开源代理模型的依赖，而这些在无法对商业FRS进行重复自适应查询时曾是典型策略。尽管仅需包含100张人脸图像的单次非自适应查询，我们的方法在AWS CompareFaces API默认阈值下实现了超过93%的高成功率。此外，与许多扰动给定图像的现有攻击不同，我们的方法可以刻意生成冒充目标身份同时展现攻击者所选高级属性的对抗性人脸。

主题

计算机视觉与模式识别（cs.CV）；人工智能（cs.AI）；密码学与安全（cs.CR）

ACM分类

I.2.6; I.5.4; D.4.6; K.6.5; I.4.8

引用

arXiv:2507.12107 [cs.CV]

提交历史

来自：Sunpill Kim [查看邮箱] [v1] 2025年7月16日星期三 10:24:54 UTC (10,855 KB)