自人臉識別商業化以來，學界一直在呼吁重視其安全風險。

“犯罪的高潮還在后面，尤其是這種多中心的信息收集模式，一定會到處暴雷。”

她認為，推廣人臉識別宣稱的安全、便利兩大主要理由都不成立。她指出：“所謂的便利，不是對一般大眾來講，而是主要給企業、產業界、相關部門帶來商業或管理方面的便利。”

如勞東燕所料，目前，制作模擬人臉模型以破解人臉識別驗證的黑產已相當“成熟”，許多軟件代碼已經開源，用身份證照片就可以從技術上模擬張嘴、眨眼等動作，可以騙過許多人臉識別平臺。

去年2月，清華大學Real AI研究團隊利用對抗樣本干擾技術，15分鐘內破解19款安卓手機人臉識別系統。

央視3.15也曾曝光過主持人現場直接“換臉”，騙過APP，完成了活體檢測認證。

銀行類App也會用到人臉識別，是否存在被對抗算法攻破的隱患？

RealAI團隊測試中利用同樣的方法成功“騙”過了部分金融App的人臉識別，“眨眨眼、張張嘴等活體經過我們驗證基本是無效的，相比之下支付類App使用的人臉識別技術更加謹慎。”

該團隊當時就指出，銀行類App目前風險較高。

人臉識別風險問題與學界的提醒幾乎同時發生了。

《新視界》獨家獲悉，2020年10月至2021年10月間，五大國有銀行之一的交通銀行，發生了多起疑似與人臉識別漏洞有關的盜刷案。交通銀行的人臉識別系統多次被犯罪分子通過活體驗證，目前已被多名用戶起訴。

這些案例幾乎都被定性為電信詐騙，但事實上，藏于電信詐騙的外殼下的人臉識別風險，也值得重視。

馬躍是起訴交通銀行的用戶之一，他在金融系統工作多年，一年前的6月的某個下午，他的妻子剛把50萬元存進剛開的交通銀行卡中，不久，賬戶中的資金就不翼而飛了。報警、聯系銀行，馬躍很快得知，存款被盜刷了。

警方向銀行調取的內容顯示，犯罪分子的IP地址為中國臺灣，轉賬使用了短信+人臉識別的方式。

馬躍提供的法院判決書顯示，交通銀行承認，用戶本人當天并未離開北京，但遠在臺灣的犯罪分子，卻7次通過了交通銀行的人臉識別，6次通過活檢。

“6次人臉識別，交行一次都沒識別出來犯罪分子使用的是假人臉。”馬躍說。

受害者在北京，犯罪者在臺灣，IP地址、登錄手機型號都能證明，交行通過的人臉識別對象非受害者本人，但一個“假人臉”如何6次通過交通銀行人臉驗證的？人臉識別還有多少安全風險不為人知？

直覺告訴馬躍，這可能不是個案。馬躍一邊收集資料走訴訟流程，一邊留意是否有類似的“受害者”，一年不到，5位和他妻子一樣疑因“交通銀行人臉識別漏洞”被盜刷的用戶找到了他。

馬躍家銀行卡被盜刷半個月后，7月，同在北京的安女士也遭了“黑手”。她和馬躍的經歷巧到，盜刷者除了都是臺灣IP地址，連使用的手機型號都是一樣的摩托羅拉XT1686。

趙女士表示：“交通銀行存在支付安全漏洞，沒有辦法識別出是否是真的人臉。”

他們的共同點，都是被犯罪分子誘騙，將錢存入了交通銀行。6位受害人都是女性，有金融體系從業者、有國內top10研究生、律師，他們幾乎都是高收入、高學歷群體，都在一、二線城市生活。盜刷時間幾乎都集中在2020年10月至2021年10月。

馬躍說：“當時犯罪分子說出了我老婆的姓名、身份證號、工作單位，還有我老婆的照片，說我們信息泄露了，賬戶風險很大，最好去開一張交通銀行卡，國有大行安全措施比較好。”

但沒想到，犯罪分子看中的就是交通銀行的“安全措施”。

馬躍認為，犯罪分子一定要讓受害者辦一張交通銀行的卡，而不是其他銀行，是因為犯罪分子發現了交通銀行存在人臉識別漏洞，并利用了這一漏洞。

安女士告訴《新視界》：“以前可能都是一些普通人遭遇這些事情，無法找到這么多問題，而他們正好背景是搞技術、搞法律的內行，所以才有可能發現存在的問題。如果交行能改進，會大大減少普通百姓受騙受損”。

科大訊飛副總裁、大數據研究院院長劉鵬此前接受《中國消費者報》采訪時表示，他反對用人臉識別作為用戶的密碼去訪問一些重要服務。

劉鵬認為，除了識別技術本身良莠不齊外，計算機的人臉生成技術如今已經相當成熟，因此，人臉信息作為密碼本身就有風險。“目前還沒有一個兜底的方案，來保證它的安全性。”

當風險已經來臨的時候，仰賴于“魔”與“道”的斗法，看誰更技高一籌。只是“神魔打架”，總是凡人遭殃。人臉識別技術提供方每一次技不如人，都可能造成數位用戶的財產損失。

其前身為1997成立的天誠盛業公司，創始人、董事長兼CEO周軍畢業于山東大學，高級副總裁王丙光與周軍同是中歐國際工商學院EMBA校友，曾就職于中央國家機關工委、國務院國資委和寶鋼、寶武集團等。CTO 沈昕陽畢業于哥倫比亞大學，是前Google數據科學家。首席安全專家顧問王小云是中國科學院數學物理學部院士。

這家公司技術水平如何？36kr研究院分析師李曉曉曾出過一篇眼神科技的分析報告，她告訴《新視界》，這家公司比AI四小龍商湯、曠視、云從、依圖開始的還要早，她認為，這家公司自身實力比較殷實，不是融資驅動型，相對低調。

眼神科技相關負責人向《新視界》介紹，公司服務包括工、農、中、建、交、郵儲六大國有銀行和多家股份制銀行在內的一百多家銀行十余年，專注于生物識別技術研發、應用和服務，在行業內深耕二十余年，擁有人臉、指紋、虹膜、指靜脈等多種自主知識產權算法。

該負責人透露，公司人臉識別技術和產品通過了公安部、銀行卡檢測中心、信通院等權威機構檢測認證；使用過程符合監管機構管理要求；通過銀行客戶技術測試和公開招標入圍，合法合規。

眼神科技曾將加入中國信通院云計算與大數據研究所發起的“可信人臉識別守護計劃”（簡稱“護臉計劃”）視為“權威認可”，但《新視界》了解到，“護臉計劃”并無門檻要求。

其創始人周軍曾強調，將研究“生物密碼”，即“用戶到哪里密碼就跟隨到哪里”、”只有本人可用”希望結合密碼技術來改善網絡安全防御體系。

眼神科技CSO王姝琦也提到過，眼神科技服務金融行業18年安全穩定無事故。但“生物密碼只有本人可用”、“穩定無事故”的說法已被現實打臉。

2020年9月，眼神科技官方宣布，中標交通銀行人臉識別項目。眼神科技向交通銀行全行提供人臉識別產品，在現金管理、支付結算及賬戶管理等業務場景中實現人臉活檢及身份識別功能，

但一個月后，趙女士的資金被犯罪分子通過交通人臉識別盜刷，而趙女士，是我們了解到的最早一個交通銀行人臉識別被盜刷的案例。

其余幾位受害人的被盜刷時間，都集中在2021年6月到9月。那個時間，馬躍、夏女士、海女士、趙女士剛好在集中與交通銀行交涉人臉識別安全漏洞問題。

不久，馬躍就發現交通銀行系統改版了，手機銀行已經登不上了，必須升級，馬躍認為，銀行可能已經修復了漏洞。

但10月份，交通銀行又出現了一起人臉識別盜刷案，柳女士交通銀行賬戶資金被犯罪分子用人臉識別+短信攔截，而這僅是馬躍知道的6位。馬躍猜測，可能還有更多的受害者。

在這6位受害者的時間線里，交通銀行與人臉識別技術服務商眼神科技，在活體檢測技術上，已經輸的一塌糊涂。

根據交行的規定，登錄手機銀行需要手機驗證碼+人臉識別雙重驗證，根據交通銀行客服的說法，“馬躍”使用了人臉識別重置了密碼。

簡單概括就是，犯罪分子攔截了短信驗證碼，通過短信+假人臉識別完成了密碼重置、限額調整、大額轉賬。

境外新設備登錄、修改密碼、頻繁大額轉賬，如此異常的位置、設備及交易行為，交通銀行的風控如何應對的？人臉識別如何通過的？轉賬限額如何被更改的？

馬躍認為：開卡協議里頭約定的是限額5萬，超過限額的到柜面辦理，協議寫的很清楚。

《新視界》查看了手機銀行的單筆轉賬規定，通過短信密碼工具，轉賬限額不超過5萬，通過人臉識別，可將上限上調至不超過20萬。

“如果你確實識別了我真實的人臉，是經過我同意了，但是你識別的不是真人的臉，說不過去。”

自被盜刷以來，馬躍等多次上訴至法庭，但對其提出的“誰通過了人臉識別”這一問題，沒有具體定性。

圖：馬躍的訴狀

7月5日，馬躍告訴《新視界》，6月30日他的申請已被法院駁回，法院判定，交通銀行未見存在明顯的過錯和過失。

圖：馬躍提供的法院判決書

但他認為，法院回避了交通銀行人臉識別漏洞問題，表示會堅持上訴。

如果僅以信息泄漏簡單概括這6位受害者的經歷，將所有的電信詐騙都歸于用戶不夠謹慎，而不對背后的根源深究，可能會有更多的人繼續遭受損失。

奇安信集團行業安全研究中心主任裴智勇此前接受《中國消費者報》采訪時說過，智能換臉的技術門檻比絕大多數人的想象要低得多。通過人工智能技術，可以將一張普通的靜態照片(正面、側面均可)，轉化生成一張表情生動的人臉，以2017年左右的技術水平，已經完全有能力騙過絕大多數人臉識別系統。

裴智勇舉過一個用大數據安全驗證模型保障用戶賬戶安全的例子，如果用戶刷臉支付時，裝有支付APP的手機原先一直在北京活動，某一天刷臉行為突然發生在廣西，支付系統就應阻止驗證被通過。

馬躍也在想，如果交行的人臉識別系統安全，應該能識別出當時那張臉非用戶本人，及時阻止驗證被通過，那犯罪分子根本無法登錄賬戶，后續的密碼重置、限額調整、大額轉賬也就無從下手了。

清華大學公共管理學院副教授賈西津認為，銀行系統不能識別真實的臉和假的面孔，那就屬于系統漏洞，剩余責任肯定是在銀行，不能把責任都推給客戶。用戶如果存在信息泄露的話有一定過錯，但銀行肯定不是無責的。

中國人民大學法學院副教授郭銳告訴《新視界》，在法律上，即便是由于技術本身無法實現百分之一百的精確，對于造成的損失，銀行也應該承擔責任，不能以用戶信息泄漏的說法逃避責任，除非能夠證明用戶和犯罪分子進行了互相配合，導致了損失。

“犯罪分子通過假的人臉識別騙過銀行的身份認證系統，本質上和犯罪分子偽造文件單據騙過銀行的身份認證系統沒有不同。從侵權法的立法政策上看，銀行有能力改進技術減少損失，而用戶完全無能為力。所以把責任分配給銀行，從經濟角度看，能夠減少損失。”

郭銳認為，銀行有責任采納成熟的技術，減少識別錯誤。

7月5日，交通銀行手機銀行用戶協議中，人臉識別技術提供方仍是眼神科技。

鳳凰網《新視界》聯系到了交通銀行及眼神科技，對于以上用戶提出的交通銀行人臉識別漏洞是否存在？為何真假人臉無法識別？

眼神科技沒有正面回復。其相關負責人對鳳凰網新視界表示，作為交通銀行的人臉識別算法和技術服務提供商之一，目前為止尚未收到客戶有關此案件的相關反饋。并非當事雙方人，不便做過多評論。

截至發稿，交通銀行對此事暫無回應。

（應受訪者需求，馬躍、安女士、夏女士、海女士、柳女士、趙女士為化名，為保護受訪者隱私，個人信息做了模糊處理）

總結

以上是生活随笔為你收集整理的近200万银行巨款不翼而飞！人脸识别成“罪魁祸首”的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。