Saltar para o conteúdo principal
Didit angaria 7,5 milhões de dólares para construir a infraestrutura para identidade e fraude
Didit
Voltar ao blog
Blog · 24 de março de 2026

Ataques com Adesivos Adversariais: Fraudando o Reconhecimento Facial (PT-PT)

Adesivos adversariais são modificações subtis em imagens criadas para enganar sistemas de reconhecimento facial. Este artigo explora como estes ataques funcionam, as implicações para a segurança da IA e como se defender contra.

Por DiditAtualizado
adversarial-patch-attacks-face-recognition.png

Ataques com Adesivos Adversariais: Fraudando o Reconhecimento Facial

A tecnologia de reconhecimento facial está a tornar-se omnipresente, alimentando tudo, desde o desbloqueio de smartphones a sistemas de controlo de fronteiras. No entanto, esta conveniência vem acompanhada de um risco de segurança crescente: ataques adversariais. Uma forma particularmente insidiosa destes ataques envolve adesivos adversariais – modificações pequenas, muitas vezes impercetíveis em imagens que podem descarrilar completamente o desempenho até dos modelos de reconhecimento facial mais avançados. Este artigo explora a fundo como estes ataques funcionam, as implicações para a segurança da IA e estratégias para se defender contra eles.

Ponto Chave 1 Adesivos adversariais exploram vulnerabilidades nos fundamentos matemáticos dos modelos de aprendizagem profunda, causando classificações incorretas com alteração visual mínima.

Ponto Chave 2 Estes ataques não são apenas teóricos; investigadores demonstraram ataques de reconhecimento facial bem-sucedidos em cenários do mundo real utilizando adesivos impressos e até óculos.

Ponto Chave 3 Defender-se contra ataques com adesivos adversariais requer uma abordagem em camadas, incluindo treino adversário, pré-processamento de entrada e arquiteturas de modelos robustas.

Ponto Chave 4 A eficácia de um adesivo adversário depende fortemente da arquitetura específica do modelo, dos dados de treino e do algoritmo de otimização do adesivo.

Compreendendo os Ataques Adversariais

No seu cerne, os ataques adversariais visam criar perturbações subtis nos dados de entrada que fazem com que os modelos de aprendizagem automática façam previsões incorretas. Estas perturbações são criadas aproveitando o funcionamento interno do modelo – especificamente, as fronteiras de decisão de alta dimensão que separam diferentes classes. Os modelos de aprendizagem profunda, embora poderosos, são frequentemente surpreendentemente sensíveis a estas pequenas alterações. O objetivo não é tornar a alteração óbvia para um observador humano, mas explorar as vulnerabilidades matemáticas do modelo. Um exemplo clássico é adicionar um padrão de ruído cuidadosamente calculado a uma imagem de um panda, fazendo com que o modelo o classifique com confiança como um gibão.

Como Funcionam os Adesivos Adversariais no Reconhecimento Facial

Adesivos adversariais são um tipo específico de ataque adversário concebido para enganar sistemas de classificação de imagens. No contexto do reconhecimento facial, estes adesivos são tipicamente pequenos autocolantes ou padrões visualmente discretos que, quando colocados no rosto de uma pessoa, fazem com que o sistema a identifique incorretamente. O processo de criação destes adesivos envolve um algoritmo de otimização que procura a perturbação mínima necessária para alcançar uma classificação incorreta desejada. Eis uma análise do processo:

  1. Seleção de Alvo: Um atacante escolhe primeiro uma identidade-alvo – a pessoa que quer que o sistema acredite que a vítima é.
  2. Otimização do Adesivo: Um algoritmo (frequentemente baseado em descida de gradiente) modifica iterativamente um adesivo, calculando como cada alteração afeta a saída do modelo. O objetivo é encontrar um adesivo que, quando aplicado a qualquer rosto, faça com que o modelo preveja a identidade-alvo com alta confiança.
  3. Posicionamento do Adesivo: O adesivo otimizado é então fisicamente colocado no rosto da vítima (por exemplo, como um autocolante, armação de óculos ou até maquilhagem).

A eficácia de um adesivo depende de vários fatores, incluindo o seu tamanho, forma, cor, textura e posicionamento. Investigadores do MIT demonstraram adesivos com apenas 1,5 x 1,5 polegadas que podem atingir uma taxa de sucesso de 100% contra sistemas comerciais de reconhecimento facial a uma distância de vários metros. Estes adesivos não dependem de obscurecer as características faciais; eles manipulam subtilmente as representações internas do modelo.

Implicações e Exemplos do Mundo Real

A ameaça representada pelos ataques com adesivos adversariais estende-se além das demonstrações académicas. Considere estes cenários potenciais:

  • Contornar Sistemas de Segurança: Um atacante pode usar um adesivo para se fazer passar por um indivíduo autorizado, obtendo acesso a instalações ou sistemas seguros.
  • Evitar Vigilância: Um indivíduo pode usar um adesivo para evitar ser identificado por câmaras de vigilância.
  • Roubo de Identidade: Um adesivo pode ser usado em conjunto com outras técnicas para facilitar o roubo de identidade ou fraude.

Investigações recentes mostraram que até adesivos de baixa resolução podem ser eficazes, tornando-os mais fáceis de implementar em ataques do mundo real. Além disso, alguns ataques demonstraram a capacidade de transferir para diferentes modelos de reconhecimento facial, o que significa que um adesivo otimizado para um sistema também pode funcionar contra outros. Um desenvolvimento particularmente preocupante é a criação de adesivos adversariais “universais” – adesivos concebidos para perturbar uma ampla gama de modelos sem exigir treino específico para cada sistema-alvo.

Defendendo-se Contra Adesivos Adversariais

Proteger-se contra ataques com adesivos adversariais é um desafio complexo. Algumas estratégias de mitigação incluem:

  • Treino Adversário: Voltar a treinar o modelo com exemplos adversariais (imagens com adesivos aplicados) para torná-lo mais robusto. Isto é considerado uma primeira linha de defesa, mas requer um conjunto grande e diversificado de exemplos adversariais.
  • Pré-processamento de Entrada: Técnicas como suavização de imagem, redimensionamento aleatório ou compressão JPEG podem perturbar a eficácia do adesivo. No entanto, estas também podem reduzir ligeiramente a precisão do reconhecimento facial legítimo.
  • Arquiteturas de Modelos Robustas: Usar arquiteturas de modelos que são inerentemente mais resistentes a perturbações adversariais (por exemplo, modelos com garantias de robustez certificadas).
  • Deteção Adversarial: Empregar modelos separados para detetar a presença de adesivos adversariais em imagens.
  • Autenticação Multifator: Exigir múltiplas formas de identificação (por exemplo, reconhecimento facial + palavra-passe) para reduzir o risco de um ataque bem-sucedido.

Nenhuma defesa única é à prova de falhas. Uma abordagem em camadas, combinando múltiplas técnicas de mitigação, é a estratégia mais eficaz.

Como a Didit Ajuda

A plataforma de identidade da Didit é construída com segurança como um princípio fundamental. Abordamos ataques com adesivos adversariais e spoofing biométrico através de várias características-chave:

  • Deteção de Atividade: Os nossos algoritmos avançados de deteção de atividade vão além da simples deteção de movimento, empregando análises faciais 3D sofisticadas e mecanismos de desafio-resposta para verificar que um utilizador é uma pessoa real.
  • Verificação Multimodal: A Didit combina múltiplos métodos de verificação (por exemplo, verificação de documento de identificação, deteção de atividade, correspondência facial) para criar um sistema mais robusto e fiável.
  • Monitorização Contínua: Atualizamos constantemente os nossos modelos e algoritmos para nos mantermos à frente de ameaças emergentes, incluindo novos tipos de adesivos adversariais.
  • Análise de Sinais de Fraude: A nossa plataforma analisa uma ampla gama de sinais de fraude, incluindo informações do dispositivo, endereço IP e padrões de comportamento, para identificar atividades suspeitas.

Pronto para Começar?

Proteja a sua empresa da ameaça em evolução dos ataques de reconhecimento facial. Solicite uma demonstração da plataforma de identidade da Didit hoje para saber como podemos ajudá-lo a proteger os seus sistemas e proteger os seus utilizadores. Explore a nossa documentação técnica para entender as nossas funcionalidades de segurança em detalhe.

FAQ

Qual é a diferença entre um adesivo adversário e um deepfake?

Embora ambos sejam formas de ataques baseados em IA, eles diferem na sua abordagem. Um deepfake cria uma imagem ou vídeo completamente sintético, enquanto um adesivo adversário modifica uma imagem existente para enganar um modelo. Os adesivos são tipicamente menos intensivos em termos computacionais para serem criados do que os deepfakes.

Os adesivos adversariais podem funcionar em todos os sistemas de reconhecimento facial?

Não. A eficácia de um adesivo depende da arquitetura específica do modelo, dos dados de treino e do algoritmo de otimização do adesivo. No entanto, a investigação sugere que alguns adesivos podem ser transferidos entre diferentes modelos, tornando-os uma ameaça mais ampla.

Como posso detetar se alguém está a usar um adesivo adversário?

Detetar adesivos adversariais é desafiador. Estão a ser desenvolvidos algoritmos especializados para identificar anomalias subtis em imagens que possam indicar a presença de um adesivo, mas estes ainda não são à prova de falhas. A deteção de atividade e a autenticação multifator podem ajudar a mitigar o risco.

Os adesivos adversariais são uma ameaça significativa hoje?

Embora ainda seja uma área de investigação relativamente nova, os ataques com adesivos adversariais estão a tornar-se cada vez mais uma ameaça realista. À medida que a tecnologia de reconhecimento facial se torna mais generalizada, o impacto potencial destes ataques aumenta. As defesas proativas são cruciais.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitorização de Transações e Rastreio de Carteiras. Integre em 5 minutos.

Começar grátisFale connosco
Peça a uma IA para resumir esta página
Adesivos Adversariais: Ataques ao Reconhecimento Facial.