最终，这张看起来像 Steve 的护照照片由 Steve 提交给政府，Jesse 使用 Steve 的护照顺利地通过了护照人脸识别系统。

这项挑战由迈克菲高级威胁研究团队（McAfee Advanced Threat Research, ATR）发起，参与人员有 ATR 团队负责人 Steve Povolny 以及俄亥俄州立大学大四学生、前迈克菲实习生 Jesse Chick。
接下来我们来看这项研究的技术详解。

接着，这些实时拍摄的照片被处理成与目标照片类似的格式，包括图像大小和类型等。如果两者匹配，则护照持有者得到验证。如果不匹配，检查员将会比对登机牌和身份证表格上的照片。
所以，作为一项脆弱性研究，研究者需要分析如何才能破解人脸识别系统，包括预期的操作方法和可能出现的疏忽。他们考虑是否可以利用底层系统的缺陷来骗过目标人脸识别系统。
更具体地讲，研究者想知道是否能够创建护照格式的「对抗性图像」，然后被误验证为目标对象。在此之前，研究者曾进行过针对图像识别系统的数字和物理介质攻击。

对象 A Jesse。
所以，研究者假设 Jesse 从未提交过护照照片。与此同时，同谋者对象 B（Steve）不在禁飞名单中，他协助 Jesse 骗过护照人脸识别系统。

对象 B Steve。
Jesse 是模型黑客攻击领域的专家，他通过自己构建的系统生成了 Steve 的一张伪图像，然后让 Steve 提交给政府。最为关键的是这张提交上去的照片必须看起来像 Steve，又能与 Jesse 的实时视频完全匹配。这样才能帮助 Jesse 顺利地骗过人脸识别系统。

对象 A Jesse 和对象 B Steve。
然后，研究者集成 CycleGAN 和 FaceNet 架构，并开始训练模型。
如下图所示，生成器的原始输出非常粗糙，虽然看起来有几分像人类，但辨认起来却非常困难，并且出现了极其明显的扰动（perturbation）。

但随着训练迭代的增加，图像的视觉展示效果出现了明显改观。人脸开始消除一些异常（abnormality），同时融合 Jesse 和 Steve 的特征。具体效果如下图所示：

随着训练迭代的进一步增加，判别器对生成器的输出图像越来越「满意」。虽然还需要处理一些细节，但生成的图像越来越像 Steve 了。

数百次训练迭代之后，研究者终于得到了符合要求的「候选图像」，它可以作为有效护照照片帮助 Jesse 通过护照人脸识别系统。

其次是负向测试（negative test），屏幕右侧为 Jesse 的真实、非生成图像。系统准确地识别出了 Sam 和 Steve 与右侧 Jesse 不是同一个人。这说明系统在非对抗性条件下可以正确区分不同的人。

最后是对抗性测试（adversarial test），屏幕右侧为模型生成的 Jesse 的对抗性或者伪图像。由于 Sam 不在 CycleGAN 训练集中，所以他与右侧的 Jesse 不匹配。攻击者 Steve 则对误分类为 Jesse。

所以，在这种对抗性攻击场景中，如果护照扫描仪完全取代人类检查员，则它已经误认为攻击者 Steve 与护照数据库中同谋者 Jesse 的伪图像是同一个人。由于 Jesse 不在禁飞名单中，也没有任何其他限制，所以 Steve 能够以 Jesse 的身份通过机场人脸验证并顺利登机。
而如果这时有人类检查员的参与，则很可能会辨认出 Steve 与护照上的 Jesse 伪图像并不是同一个人。这也由此说明了人脸识别系统较人类更容易出错。
目前，该研究已经在白盒和灰盒攻击测试中取得了进展，并实现了很高的成功率。他们希望启发或者与其他研究者合作进行黑盒攻击测试，从而证明该研究同样适用于护照验证系统等真实世界的目标，并由此对这些系统做出改进。