一个3D面具就能破解刷脸支付，还能进火车站？微信：盗刷我全赔！

随着刷脸支付的日益普及，数亿人的资金、账户甚至个人隐私等安全风险已经不容忽视。

在好莱坞十几年前的动作电影中，就有很多特工通过制作3D面具破解生物识别密码的桥段。而这些曾经令人觉得酷炫的科幻想象，似乎随着科技的进步正在成为现实，而随着人脸识别、刷脸支付、指纹支付的普及，这种安全隐患也逐渐成为一种全民忧患。

近日，美国一家名为Kneron的人工智能公司宣称使用3D面具突破了支付宝、微信的人脸识别系统，还骗过了国内某火车站的闸机，成功刷脸进站。

图片来源 / Kneron

一时舆论哗然，对此微信支付表示如果出现人脸盗刷，将进行赔付。值得注意的是，Kneron公司宣称的突破支付系统和车站闸机并没有视频佐证，仅有文字报道。后续深圳电视台使用一个硅胶制成、造价约10万元的高精度3D头模进行了实验测试，结果显示2D门锁、手机2D摄像头被秒开，但3D的刷脸支付系统没被攻破。

虽然专家学者和国内很多专业机构对Kneron公司宣称的成果都提出了质疑，但民众的忧虑并未因此削减。

Kneron宣称已破解人脸识别支付系统，着实令国内互联网消费金融平台与信用卡机构“吓出一身冷汗”。“这意味着他们也能以此盗用别人的脸，盗刷别人的信用卡或申请网络贷款。”一位信用卡机构人士认为。

但事实上，要攻克信用卡与互联网消费金融机构的人脸识别系统，绝非易事。因为在用户通过人脸识别进行刷卡付款或申请消费贷款时，相关金融机构通常会鉴于安全考量，要求申请人完成眨眼、抬头、低头、摇头、张开嘴巴等活体检测动作，以此确保是借款人“本人”在进行刷卡付款或申请贷款操作。

因此，Kneron仅仅靠一个3D面具就想攻克人脸识别安全系统，难度不小。“即便Kneron雇人将3D面具戴在头上，但相关金融机构只需将人脸识别+眼部虹膜辨别技术相结合，也能成功发现申请人是否在盗用别人的脸。”在前述机构人士看来，Kneron之所以能“欺骗”支付宝和微信等诸多人脸识别支付系统完成购物支付程序，有可能是出现在小额便捷支付场景。

因为这类场景基于客户体验提升与快捷支付的考量，对人脸识别的辨识要求未必很高——只要人脸识别系统所提取的用户面部特征，与联网公安部的公民身份数据库进行身份比对结果一致（没有过多的活体检测环节），就可能完成付款购物。

多位第三方支付机构风控技术部门人士也向记者透露，其实他们每天都在面对类似新技术的冲击。但事实上，很多新技术看似“很炫”，但只要掌握其操作诀窍，就能很快破解并确保支付安全。值得注意的是，目前Kneron已下架破解人脸识别过程的视频。

对于Kneron通过特制的3D面具破解人脸识别支付系统，这些第三方支付机构风控技术部门人士也觉得不可思议。究其原因，中国很多信用卡机构、第三方支付机构与互联网消费金融机构都针对人脸识别技术安全设立了多重风控防范措施。

其中最普遍的做法，就是引入活体检测技术，即要求申请人在人脸识别过程，随机完成点头、摇头、抬头、眨眼、张嘴等动作，以此确定申请人不会利用照片或其他3D打印面具进行盗刷或骗贷。

图片来源 / 图虫

甚至在网络信贷审核环节，不少消费金融平台还借助人脸识别里的“面部动作识别”技术，即观察申请人的微表情变化、眼神细微动作等，分析借款人表述的真实性，进而降低欺诈骗贷风险。“事实上，金融机构的人脸识别技术还曾协助破获一起凶杀案件。”上述第三方支付机构风控技术部门主管透露。

此前某位年轻女人遇害，凶手曾用遇害者的脸申请网络贷款，但相关平台在多次提醒申请人（也就是遇害者）眨眼、点头、摇头未果后，怀疑申请人“状况存疑”，因此向相关部门反映，协助经侦部门很快抓住凶手。

“Kneron之所以能通过特制的3D面具破解人脸识别支付系统，很可能是雇人戴上3D面具，在小额便捷支付场景蒙混过关，因为这类场景未必会让申请人完成大量活体检测动作，只要人脸识别系统所提取的用户面部特征，与联网公安部的公民身份数据库进行身份比对结果一致，就能快速通过购物付款审核。”

他指出，但这意味着Kneron为此所付出的成本不低，因为3D面具一方面得栩栩如生，另一方面还得与使用者头部特征尽可能匹配，避免出现明显破绽。因此，除非Kneron通过一个特制3D面具能获得巨额的“盗刷”金额或网络信贷款，否则如此操作势必无利可图。

在上述信用卡领域的人士看来，即便Kneron所制作的3D面具侥幸通过活体检测审核环节，但金融机构依然有办法防范这类风险。比如金融机构完全可以将人脸识别+眼部虹膜辨别技术相结合进行申请人身份真实性判定，因为人工智能公司目前还很难“复制”一个人的眼部结构特征。

据他了解，Kneron也是尝试了很多次，才取得少量攻克人脸识别支付系统的成功案例，整体而言，这类操作成本很高且收效甚小，只能在一些小额便捷支付场景蒙混过关，很难大面积推广。“这也是不少国内第三方支付机构对此底气十足的原因之一。”他认为。

21世纪经济报道梳理近期国内关于生物识别风险事件发现，已有不少案例出现。

早在2017年“315”晚会上，央视主持人现场利用了软件后期修改人脸图片的方式进行脸部识别，绕过了网络实名认证系统，也就是说，只需要用修图软件处理一下人们晒在微博、朋友圈的照片，就能通过某些银行支付APP的活体检验，某些支付软件存在的技术漏洞可能引发资金安全威胁。

2018年1月，国内某支付平台人脸识别系统被爆出存在“重大低级”漏洞，黑产人员周某、杨某通过在黑市上购买公民个人信息，利用平台漏洞修改账户密码和换绑手机号，盗刷了二十多个账户内共28万余元资金，相关犯罪嫌疑人已被宜宾警方抓获。

今年1月，四川省公安机关网安部门打掉一个使用软件制作动态人脸图片，破解人脸识别系统，盗窃支付宝资金的犯罪团伙，抓获犯罪嫌疑人8名，查获公民个人信息数据3000余万条。

今年8月5日，某科技公司创始人王峻爆料，他好几年前使用3D打印技术制作出来的自己的机器头，这两天拿来测试支付宝的刷脸支付功能，把手机对着人头一放，在某火车票APP上，成功购买了一张9.5元从南京到宝华的火车票。

今年10月，浙江一群小学生在课外科学实验中发现，只要用一张打印照片就能轻松“破解”丰巢智能快递柜的“刷脸取件”系统，取出父母的快递。随后有媒体进行测试，发现该漏洞确实存在，甚至用偷拍的照片也能打开丰巢的快递柜。

今年11月，网络上出现的一段视频中，一对双胞胎姐妹应网友的要求测试了某两款国产手机的人脸识别锁屏，以及支付宝APP的人脸识别系统。在姐妹俩发型不一样，姐姐的下巴有颗痣的情况下，成功解锁手机屏幕。在对支付宝“刷脸”付款测试时，妹妹用姐姐的支付宝刷脸支付功能成功转账。

图片来源 / 21世纪经济报道

艾媒咨询11月21日发布的《2019年中国刷脸支付技术应用社会价值专题研究报告》中数据显示：2018年中国移动支付用户规模较2017年增长17.2%，达到6.59亿人，预计2019年移动支付用户规模将突破7亿人。而作为新的支付方式，刷脸支付目前普及度有限。2018年中国刷脸支付用户达0.61亿人，2019年刷脸支付用户规模有望增长94.0%至1.18亿人。预计高速增长将持续保持，预计2022年规模突破7.6亿人。

随着刷脸支付的日益普及，数亿人的资金、账户甚至个人隐私等安全风险已经不容忽视。

某用户对21世纪经济报道记者指出，有不少银行、P2P金融企业的APP已经使用了人脸识别技术，但在金融支付等领域大规模应用的情况下，由于不同公司的技术实力参差不齐，有些公司没有严格按照安全规范采用人脸识别服务，甚至为了提高用户的体验而舍弃安全性的做法时有发生，暴露出巨大的安全风险，存在因人脸识别漏洞导致资金被盗刷的潜在可能。

记者采访中也发现，不同于前两年刷脸支付刚推出时企业对于其便捷性的宣传和鼓励，近期头部机构对于刷脸支付的宣传和推广也明显减少。

今年8月23日，支付宝更是发布了《生物识别用户隐私与安全保护倡议》，呼吁从事该行业的科技企业加入进来，明确提出“企业在采集用户生物信息时应遵循‘最小、够用’的原则，防止被滥用”。倡议中指出，企业应对采集到的信息进行加密存储来提高安全强度，也应明确和规范用户信息使用的目的及范围，避免信息被过度使用。另外，在具体使用中也应建立保险机制来确保用户资金不受损失。

支付宝IoT事业部总经理钟繇表示，

科技企业也需要为保护用户隐私与信息安全有所作为。支付宝是最早研发人脸识别技术的公司之一，也是首个把刷脸支付进行商业化的公司，因此积累了一套成熟的技术和制度，现在也希望把这些经验能推广出去，以便从事生物识别的企业都可以规范、正确来运用技术。而针对人脸识别在支付等领域存在的安全风险，某金融科技公司相关业务人士指出，目前对于如何防范人脸识别风险，行业也有了一定共识，需要从多方面努力。

首先，相关监管部门对于人脸识别安全规范标准亟待完善，从监管层面严格制定准入门槛和安全防范标准，对于涉及资金支付、金融等领域的人脸识别软硬件设备制定统一的技术标准，淘汰一批安全性能差的软硬件程序、设备。

第二，各企业采用人脸识别技术时，应加强用户指纹、面部识别等生物识别数据的安全保护，防止相关敏感数据的泄露和不规范保存，导致用户隐私、资金安全遭受威胁。

最后，用户也应谨慎开通类似“刷脸支付”等相关功能，特别是在使用中小企业开发的人脸识别功能时，应提高警惕和安全防范意识，防止因企业安全防控和开发技术不足引发的隐私泄露和资金盗刷风险。

小伙伴们，你怎么看待人脸识别技术？相信3D面具能破解吗？

本文经21世纪经济报道（公众号：jjbd21）授权转载，原标题：不可思议！一个3D面具就能破解刷脸支付，还能进火车站？微信：盗刷，我赔！，记者：侯潇怡、陈植、谢忠翔 ；编辑：李伊琳、张楠，未经允许请勿转载。