Vì sao tạp chí lừng danh như WIRED với mặt nạ nghìn đô không qua được Face ID còn BKAV lại làm được với mặt nạ chỉ 150 đô?

Vì sao một tờ báo công nghệ uy tín và lâu đời (WIRED) lại không thể qua mặt được Face ID còn một công ty bảo mật hàng đầu như BKAV lại làm được? Vì "Chúng tôi không dùng mật khẩu, khi máy không nhận mặt nạ từ 3 đến 4 lần, chúng tôi sẽ dùng chính mặt thật của mình để mở khóa máy, tránh việc dùng mật khẩu khiến máy học dữ liệu từ mặt nạ."

Cách đây 4 năm, Lê Việt Quốc, một học viên tiến sỹ tại ĐH Stanford đã đưa ra một ý tưởng quan trọng với giới AI: giả lập một mạng neuron để giúp máy móc tự hình dung ra được các "khái niệm" nhận diện. Nói một cách đơn giản nhất, bằng 10 triệu bức ảnh chụp vô số loại vật thể khác nhau, mạng neuron chạy trên máy tính (và sau này là card màn hình NVIDIA) đã có thể TỰ xây dựng ra một "khái niệm" về "mèo" như sau:

Ý tưởng của vị tiến sỹ người Việt đã giải quyết một vấn đề quan trọng: làm thế nào để tạo ra bản mẫu cho các bài toán nhận diện. Về lợi ích của mô hình mạng neuron nhiều lớp ("deep" trong"deep learning" có nghĩa là nhiều lớp) do anh tiên phong, chúng tôi xin được gửi đến bạn đọc trong một bài viết khác - bởi đây là bài viết về Face ID. Tuy vậy, trước khi đi sâu vào phân tích cách qua mặt Face ID của BKAV, hãy luôn nhớ rằng: "nhận diện" qua thuật toán AI đầu tiên phải bắt đầu bằng một "khái niệm" về "bản mẫu". Máy móc cần phải có được một "khái niệm" về "mèo" để có thể tự nhận diện ra chính xác những con mèo trong các bức ảnh ngẫu nhiên.

Cũng giống như nhận diện hình ảnh, nhận diện giọng nói hay phân tích ngôn ngữ, Face ID cũng mang bản chất "học" và "nhận diện" qua mạng neuron. Khi bạn khởi động tính năng Face ID, Apple sẽ yêu cầu bạn phải cho phép "cài đặt" một vài khuôn mặt mẫu.

Tức là, bên trong chiếc iPhone X của anh A sẽ có một "khái niệm" về "khuôn mặt của A". Ngoại trừ Apple ra, không ai biết cái "khái niệm" này được lưu trữ dưới dạng thông tin như thế nào, nhưng việc duy nhất chúng ta có thể chắc chắn là iPhone X của anh A có lưu trữ "khái niệm" về "khuôn mặt của A".

Một điểm khác chúng ta có thể gần như chắc chắn: các "khái niệm" do AI xây dựng sẽ thay đổi theo thời gian. Nếu chỉ nạp vào 1 triệu bức ảnh, "khái niệm" về "mèo" do Google Brains xây dựng ra chắc chắn sẽ có điểm khác biệt so với bức ảnh được chúng tôi đăng tải ở trên, vốn là từ 10 triệu bức ảnh.

Lợi thế này được tất cả các hãng áp dụng khi nhắc đến AI (và hình ảnh) kể từ năm 2012 cho đến nay. Facebook chẳng hạn, bạn càng up nhiều ảnh thì Facebook càng dễ phân biệt ảnh của bạn và ảnh của anh trai/em gái của bạn. Trên iPhone cũng có tính năng tương tự từ iOS 10: bạn có thể "dạy" cho iPhone đâu là ảnh của bạn và chiếc điện thoại này có thể nhận diện chính xác hơn các bức ảnh bạn chụp trong tương lai.

Bixby của Samsung đi xa hơn một bước: cho người dùng chụp ảnh rồi nhận diện ra các bức ảnh tương tự.

Bixby trang bị trên Galaxy S8 có khả năng nhận diện vật thể

Trở lại với Face ID. Có thể khẳng định chắc chắn đến 99.99% rằng "khái niệm" về "anh A" được lưu đâu đó trong iPhone X sẽ luôn luôn thay đổi.

Đây chính là một trong những điểm thiếu sót trầm trọng của BKAV. Họ khẳng định: "Chúng tôi không dùng mật khẩu, khi máy không nhận mặt nạ từ 3 đến 4 lần, chúng tôi sẽ dùng chính mặt thật của mình để mở khóa máy, tránh việc dùng mật khẩu khiến máy học dữ liệu từ mặt nạ".

Bởi Apple chưa bao giờ khẳng định Face ID sẽ không thay đổi "khái niệm" sau mỗi lần nhận diện sai VÀ RỒI nhận diện đúng, dù bằng Face ID hay passcode.

Hãy thử đặt mình vào vị trí của... Face ID: nhận diện sai 3 lần trên mặt nạ VÀ nhận diện đúng 1 lần chỉ bằng khuôn mặt thật phải được hiểu thành:

- Lần 1: "gần giống, nhưng KHÔNG phải là anh A".

- Lần 2: "gần giống, nhưng KHÔNG phải là anh A".

- Lần 3: "gần giống, nhưng KHÔNG phải là anh A".

- Lần 4: "Là anh A. Và lần 1, lần 2, lần 3 HÓA RA cũng là anh A".

Những người hiểu biết căn bản về máy học cũng sẽ hiểu rằng dữ liệu của lần 1, lần 2 và lần 3, dù không được xác thực lần đầu, vẫn sẽ cần phải lưu lại để thay đổi "khái niệm" của Face ID về "anh A".

Khuôn mặt của "Anh A".

Hãy ghi nhớ nguyên tắc quan trọng của nhận diện bằng AI: các bản mẫu càng ít thì xác suất nhận diện chính xác càng thấp. Các nhà nghiên cứu phải nạp vào một lượng ảnh tiếp theo. Càng ngày, hình dung của AI về "mèo" và những vật thể khác không phải là mèo sẽ càng thay đổi.

Face ID cũng vậy. Thuật toán máy học phải liên tục "học" từ các dữ liệu thu được trong mọi tình huống: không phải là anh A, là anh A, không phải là anh A nhưng hóa ra lại là anh A (theo cái cách BKAV đã "dạy" Face ID và mặt nạ).

Khi xen kẽ giữa mặt nạ và người thật, BKAV đã mắc phải một sai lầm căn bản: thay đổi "khái niệm" của Face ID về "mặt anh A" để chấp nhận cả mặt nạ lẫn mặt thật.

Đây chính là lý do vì sao các nguồn tin lớn như Wired (Mỹ) không thể qua mặt được Face ID: họ đặt ra tình huống sát với thực tế (của... tội phạm) hơn. Trong thử nghiệm, Wired tạo ra một mặt nạ vô cùng chi tiết và trông chờ Face ID cho phép mở khóa ngay lập tức. Còn BKAV thì chắc chắn đã thất bại nhiều lần, nhưng lại dùng mặt nạ để thay đổi "khái niệm" của Face ID.

Còn kể cả trong tình huống rất khó hiểu là "khái niệm" Face ID không bị thay đổi, phép thử của BKAV vẫn tồn tại một sai lầm căn bản khác: công ty này có thể dễ dàng tiếp cận khuôn mặt của nạn nhân qua một thời gian dài, vẫn có thể mở khóa iPhone X sau khi đã nhận sai nhiều lần (bằng mặt thật hay passcode). Nếu tội phạm có thể tiếp cận với khuôn mặt nạn nhân trong thời gian như vậy, rõ ràng là chúng đang khống chế nạn nhân. Không việc gì phải tốn công làm mặt nạ rồi thử đi thử lại, đặc biệt càng không cần thử kiểu... 3 lần sai 1 lần đúng như BKAV.

Vậy, liệu Face ID có thực sự tồi tệ như khẳng định của BKAV? Có lẽ là không. Nếu đã dùng tới những tình huống thiếu thực tế để đánh giá về bảo mật qua mô hình 3D của khuôn mặt, chúng tôi cho rằng các biện pháp khác cũng cần phải được đánh giá tương tự: vân tay trên BPhone có bảo vệ được bạn khi bạn bị... không chế trong một thời gian dài hay không?