Find the Differences: Differential Morphing Attack Detection vs Face Recognition

臉部辨識技術越精準，抵禦變形攻擊的能力可能越低。最新研究指出，當臉部辨識系統將錯誤匹配率（FMR）閾值壓低至 0.1% 或 0.01% 時，系統對合成影像的脆弱度反而會大幅上升。研究團隊主張，無需額外開發專屬的防禦工具，直接調整現有的臉部辨識系統，並導入全新的 wcMMPMR 評估指標，即可在數學層面上確保對抗未知變形攻擊的絕對安全上限。

D-MAD 檢測模型與常規臉部辨識的同質性

變形攻擊（Morphing Attack）是指將兩張不同人物的照片融合，製造出能同時欺騙系統並匹配雙方身分的影像。防禦此類威脅的主流方法是差分變形攻擊檢測（D-MAD，Differential Morphing Attack Detection），透過比對可信的探測影像與可疑影像來尋找破綻。團隊在比對 D-MAD 與一般臉部辨識系統（FR）時發現，兩者本質上都在執行相似的任務，也就是判斷兩張影像是否屬於同一人。檢視資料後更確認，兩種既有的 D-MAD 模型幾乎將所有非匹配（non-mated）的正常影像對都標記為變形攻擊。設定雙方在相等的嚴格閾值下進行測試時，普通的 FR 系統在部分影像庫上的表現，甚至超越了基於逆向變形的 D-MAD 模型。這代表只要為普通 FR 系統設定足夠嚴謹的決策門檻，就能大幅降低對各類變形攻擊的脆弱度。

電子護照列印掃描流程導致 S-MAD 檢測失效

部分國家允許民眾在申辦身分證件時提供自行沖印的證件照，這些照片會經過掃描後存入電子機器可讀旅行文件（eMRTD，儲存個人生物特徵資料的電子護照格式）。實體列印與再次掃描的過程，往往會抹除影像合成時留下的殘影或模糊邊緣等瑕疵。依賴單一影像進行分析的單張變形檢測（S-MAD）技術，在面對經過後製與硬體處理的高品質合成照片時，幾乎無法有效分辨真偽。相關基準測試數據也證明，S-MAD 在跨資料集測試環境中表現極不穩定。對比之下，具備可信參考影像的 D-MAD 架構，在應對掩飾過的合成照片時更具實用價值。業界正將防禦重心從單一影像檢驗，轉移至以成對影像比對為基礎的差分檢測機制。

ArcFace 潛在空間的 512 維變形影像特徵

理解變形攻擊的運作機制，必須深入探究深度學習模型的潛在空間（Latent Space，將影像轉換為高維度數值向量的抽象表示區域）。研究人員運用 t-SNE 降維技術，將預先訓練的 ArcFace 模型中高達 512 維的特徵向量進行視覺化處理。觀察這份基準資料集的散佈圖可以發現，真實身分的影像會各自聚集形成獨立的叢集。變形攻擊影像的特徵向量，則精準落於兩個真實身分叢集的正中央地帶。這片介於兩者之間的「無人區」，正是臉部辨識系統防守最脆弱的邊界地帶。能夠精準將合成影像特徵引導至這些脆弱區域的變形工具，往往具備極高的攻擊成功率。

vMF 模擬揭示 0.1% FMR 閾值的結構弱點

學界長期觀察到，當臉部辨識系統在正常影像上的辨識能力越強，其面對變形攻擊時的抵抗力反而越弱。為了拆解這個矛盾現象，團隊引入 von Mises-Fisher（vMF，用於描述超球面資料分佈的統計模型）分佈來模擬高達 250 組身分的潛在特徵向量。模擬結果顯示，優秀的系統會將不同身分的特徵均勻分佈在超球面上，使得非匹配的餘弦相似度分數集中在約 1.57 附近。開發者為了進一步區隔分數，會盡力壓縮單一身分的類別內變異。然而，當依循業界慣例將錯誤匹配率（FMR）閾值設定在 0.1% 時，系統必須將決策邊界過度貼近真實身分的叢集核心。這種極端的劃分方式，反而騰出了寬廣的中介空間，讓變形影像能夠輕易跨越雙方的接受門檻，導致整體脆弱度攀升。

wcMMPMR 指標建立防禦未知變形攻擊的數學上限

既然傳統的決策閾值設定方式存在根本缺陷，研究團隊提議直接捨棄單純依賴 FMR 的評估慣例。論文提出以「最壞情況變形」（worst-case morphs）來計算決策閾值，並引入全新的 wcMMPMR（考量極端特徵的最壞情況變形匹配率）指標。工程師可以先設定一個可容忍的最高風險百分比，接著透過公式反推找出對應的絕對決策門檻。即使未來出現採用全新架構的生成式演算法，這種基於極端向量特徵的數學定義，都能確保系統被攻破的機率維持在設定標準以下。相較於無法提供防禦上限的專屬 D-MAD 工具，直接優化普通臉部辨識系統的閾值設定，在實務層面的安全性具備更高的可預測性。

改用 wcMMPMR 指標設定閾值，才能為防禦未知變形攻擊建立絕對的數學安全上限。