图：刘永昌教授表示，人脸识别应用程式易受黑客攻击，故建议目前使用人脸识别的商户应尽量用硬件类系统。\大公报记者何嘉骏摄

　　人脸识别技术已愈来愈多地应用于日常生活，然而这项技术是否成熟到足以让人信赖？背后的技术运作原理和发展现状又当如何？香港中文大学工程学院信息工程学系教授刘永昌接受《大公报》访问时详细解析当下该技术存在的不足，他直言，纯粹靠软件而没有运用硬件的安全单元（Secure Element）保护的人脸识别应用程式（APP），其安保能力令人担忧，应当引起高度关注。

　　刘永昌研究团队在近年的一项研究中，通过撰写应用程式，以自动化分析方法，扫描了18,000多个流动应用程式，发现当中有373个的原码包含了有安全漏洞的人脸识别应用模组。刘永昌表示，所有使用了这些含安全漏洞的人脸识别应用模组的应用程式，都更易受到黑客攻击，需要采取设置硬件等其他方法加固，“纯粹靠软件加固的方法仍有相当风险，并非一劳永逸。”\大公报记者 苑向芹（文） 李斯达（资料） 融媒组（视频）

　　人脸识别系统的载体分为硬件和软件两大类，硬件系统即拥有单独的设备，例如市民过海关出入境时的人脸识别系统；一些手机本身亦自带人脸识别系统。而软件系统则通常指手机应用程式内的人脸识别系统，例如某些银行应用程式要求用户登记人脸识别时，会在APP内弹出人脸识别的画面。

　　专家指出，软件系统与硬件系统由于运作模式不同，安全系数亦不相同。据刘永昌教授介绍，一些软件系统是将人脸识别数据上传到云端，而云端是联网的，意味着黑客只要一旦攻击云端，云端上所有持有数据的用户都会受害；而硬件的人脸识别系统由于有自己的独有系统去储存生物数据，则较大程度能避免这种问题。

　　专家检测18系统 11个存漏洞

　　在软件人脸识别系统研究方面，刘永昌教授带领的中大团队，在去年深入分析检测了市场上18个人脸识别服务供应商提供的流动应用模组，发现其中11个存在安全漏洞。这些安全漏洞大致可分为四类：一、黑客可以借干扰应用模组的操作，令在活体测试阶段提供给用户的指定动作过于单一、简单，容易预判；二、人脸识别的参数设置可以被黑客更改令其设置不当，影响系统判断的准确率；三、传送到云端的用户生物数据易被黑客篡改；四、在通过实体测试且影完相之后，系统一般会有一个电子签证来认证其真实性，有的黑客会模拟一个没有电子签证的版本送到云端，并且设法令到之后云端在验证该用户时，选用无电子签证的版本去进行校对。

　　刘永昌教授表示，其中第一点提到的活体测试，是建立人脸识别数据账户的第一阶段。在这个阶段，软件系统需要通过活体检测技术（liveness detection）来判断用家是否真人，包括指定用家做特定的动作，例如眨眼、张嘴、摇头等。上述指定动作皆为随机指令，以防不法分子预录视频蒙混过关。在通过真人验证后，系统会要求用户拍照，或者录制短视频，以获取用户的生物数据，再上载到云端处理，建立人脸识别账户。

　　近两年深度伪造（deepfake）技术兴起引发关注，刘教授指出，从目前的技术来看，深度伪造技术自然可以应付大多数的活体测试，惟这项技术成本过高，黑客往往极少选择。“如果你话呃一单有几千万元，咁係抵啦，但係一般唔会有呢种情况。”

　　通过篡改参数可冒充当事人

　　刘永昌教授说，现时许多黑客通常会选择从第二类漏洞切入，通过篡改参数这种低成本的方式去攻击人脸识别系统，且这种攻击方式通常会涉及所在云端内的所有用户，影响力和破坏力较深度伪造更大。

　　刘永昌教授解释，篡改参数则会直接影响人脸识别的准绳度。准绳度分为两种情况：一是非当事人去做人脸识别，系统判定这位非当事人为当事人，又称“假阳性”状态；另一种情况是当事人自己去做人脸识别，但由于和当时登记时的样貌状态有些许不同，人脸识别就判定不是本人，又称“假阴性”状态。

　　而从技术操作层面来讲，软件工程师在设计参数时需要找到一个平衡点，如若调节不好，例如将“假阳性”的发生概率调至很小，就意味着“假阴性”的发生概率会变高，反之亦然。而调节参数对于黑客而言还是很容易篡改的，所以黑客将参数调到发生“假阴性”的概率极低的时候，就意味着谁都可以通过人脸识别冒充当事人了。

　　团队以一张照片通过活体测试

　　中大研究团队在这项研究中扮演黑客破坏人脸识别系统的参数，结果凭借一张特朗普的照片成功通过用户活体测试，而用户真实身份实为学生本人。可见相关系统风险之高，令人咋舌。

　　至于现在逐渐流行的健身中心使用人脸识别一事，是否也有上述相关的系统风险，刘永昌教授表示团队尚未专门研究，不过如果健身中心用的是与手机应用程式相关的人脸识别系统，则安全系数同样较低。故他建议目前使用人脸识别的商户都尽量用硬件类的人脸识别系统。