neural-hash-collider: 针对 Apple NeuralHash 的原像攻击工具

Support

有用链接

This topic created in 1731 days ago, the information mentioned may be changed or developed.

repo 地址：
https://github.com/anishathalye/neural-hash-collider

hacker news 上相关的讨论：
https://news.ycombinator.com/item?id=28229291

发现在 v2 似乎没有还讨论就转了过来

14 replies • 2021-08-25 13:01:30 +08:00

hahastudio

Aug 19, 2021

联动：
/t/794903
/t/796616

Mitt

Aug 20, 2021

这么快就有对抗了，干得漂亮

Death

Aug 20, 2021

@hahastudio
今天又看到了这个，真是笑了

ImageNet contains naturally occurring Apple NeuralHash collisions
https://blog.roboflow.com/nerualhash-collision/

hahastudio

Aug 20, 2021

@Death 睁一眼闭一眼假装瞧不着🙈

daveh

Aug 20, 2021 via iPhone

@Death 这里面明显在误导人，就像你说陨石砸中地球的几率很高一样，但实际上陨石砸中地球并且刚好砸中你的几率是很低的。
里面说的冲突几率，实际上分到个体，就不是个事了，这也是 Apple 判断的结果。
另外现在这个出来后，大家都想着怎么避免被 hash 中，反而主动用算法去改图片命中 hash 的，就比较奇葩了。

persistz

Aug 21, 2021

@daveh 这当然不是奇葩，这是哈希算法安全的基本思路。出现了一个 hash 算法，如果可以很简单的人为制造 collision，那么会出现很多安全问题。例如我已知一个 hash value 在白名单，我把所有的其他违规图片都映射到这个 hash，那么就可以完全绕过检测。

daveh

Aug 22, 2021 via iPhone

@persistz 你把所有违规图片 hash 改成其他 hash，其结果是有一天，这个 hash 也会进黑名单。另外这种篡改，Apple 也不会想不到，肯定有对策。

persistz

Aug 23, 2021

@daveh 首先，这个 hash 进了黑名单会影响正常图片的识别，其次，这是讨论帖啊，大家是在讨论可能存在的安全问题和解决方案，如果你拿“这种篡改，Apple 肯定有对策”来说就没任何意义了，以后所有的讨论你都可以用这句话来回复。

daveh

Aug 23, 2021 via iPhone

@persistz 为什么没意义？这个对策就像反垃圾邮件对策一样，不会公开的。

persistz

Aug 23, 2021

@daveh 那所有的安全漏洞爆出来之后，大家都说一句 XX 肯定有对策就完了，以后社区不需要再发任何安全相关的帖子了

VIVVACI

Aug 24, 2021

@daveh 或许你还不理解这种攻击的意义，对于真的犯罪者是去避免冲突，但是无所谓，反正真正的犯罪者看到这个就直接不用 icloud 了。而对于其他别有用心的人就有很多花样的用处了。哈希冲突非常的常见，既然有地址空间就会有冲突，但是成熟的离散算法冲突率是低的，同时也经常是敏感的。然而这里采用的技术是为了让相似的图片尽可能产生相同的哈希码，来匹配数据库的图片，也要避免形变、位篡改等造成的影响，所以才用了神经网络的技术。深度学习的采用必然引入了不稳定性，这几年的热点方向对抗攻击也就是针对这个情况的。如何生成可以干扰神经网络的输入样本、如何增加模型的稳定性、健壮性来对抗这种攻击。生成这种图片并不是什么困难的事，有很多成熟的生成的算法。如果图片 A 被悄悄的生成，发布在网络上，然后有很多人不小心下载了。是不是把一堆无辜的人变成了嫌疑人，是不是要人工审核，那这里保护用户隐私的前提去哪里了，人工审核这么多无用的信息是不是还不如让 FBI 自己找去。

daveh

Aug 24, 2021 via iPhone

@VIVVACI 说的就是这种没有意义，你会把网上下载的、特别是这种篡改了 hash 的网上公开的图片当自己隐私？解开这种图片本来是靠一个特殊密钥，根本不影响你自己照片，怎么就侵犯你隐私了？

VIVVACI

Aug 25, 2021

@daveh 我怎么感觉你的逻辑非常可笑呢。针对性的攻击可以给 FBI 怀疑你的权利，然后你看一下 icloud 的条款，有怀疑的理由时候就可以直接看你的所有东西。加上有人恶意的产生这种东西，那是不是说我每天要花出去更多的人力物力去排查这种没有用的图片？我再退一步说，这个技术是 wawei 推出到下一代的手机上的，你们还能这么洗吗？我周围学计算机的、AI 的、图像处理的、对抗防御的人，加上之前的 twitter 密码学教授都提出了自己的担心，怎么到你这里都无所谓了呢？从一开始的洗安全性无敌，不怕攻击，安全可靠，不会误判，现在对抗做法出来了，自然冲突都有了，开始说有审核有政策了。那我每天安排一个政策的人去看你的手机相册好不好，以后家里面所有的东西都加上这个“神经哈希”判断你的所有东西是不是违法好不好，加速加速。

daveh

Aug 25, 2021 via iPhone

@VIVVACI 麻烦你去把事情来龙去脉搞清楚再来发言。你所谓的特意修改 hash 的照片，如果够多会先到 Apple 那里审核，Apple 审核判断误报，游戏结束，怎么就会到了 FBI 去怀疑你？
如果有正当证据和法庭命令，FBI 是可以要求 Apple 提供用户私钥解密 iCloud 数据的，但更多是，如果只是怀疑，Apple 不会那么轻易去解密。现状也不免存在解密全部数据侵犯用户隐私，结果什么也没搜到的情况。
所以 Apple 才设计这套新系统，通过 hash 事先识别特定违法照片打标签，FBI 要来查，也只需要用特定密钥解密这些违法照片，而不像以前一样可能要解密用户所有照片数据。
这就是这套系统的意义所在。你说的那些所谓漏洞，只是给 Apple 审核人员增加了一些无谓工作量而已。