人臉識別時(shí)代，如何應(yīng)對“換臉”危機(jī)？

繼2012年“互聯(lián)網(wǎng)+”后，“AI+”成為時(shí)代主旋律。然而在隱秘的角落，由AI所引發(fā)的安全風(fēng)險(xiǎn)和“黑灰產(chǎn)”問題正與日俱增。尤其是人臉識別——作為AI技術(shù)落地最廣泛的場景之一，所面臨的安全、倫理和道德等挑戰(zhàn)愈發(fā)嚴(yán)峻。

經(jīng)過近些年的快速發(fā)展，人臉識別已和智能硬件解鎖、支付，以及公共服務(wù)等身份驗(yàn)證直接綁定在一起。因面部信息的唯一性，以及作為個(gè)人隱私中最敏感、重要的組成部分，一旦出現(xiàn)問題，將會對個(gè)人隱私、公共安全造成巨大威脅，故對技術(shù)的安全要求和標(biāo)準(zhǔn)相對更高。

以下，我們通過兩個(gè)較為典型案例，來說一說AI攻防對人臉識別/人工智能技術(shù)和行業(yè)發(fā)展的作用和意義。

“換臉”技術(shù)的攻防戰(zhàn)

2018年，一段“奧巴馬”嗆聲特朗普的視頻在全美瘋傳。事后，這個(gè)視頻被證明為偽造，其背后所利用的即是AI“換臉”技術(shù)。該技術(shù)是基于生成對抗網(wǎng)絡(luò)（GANs），通過兩個(gè)模型——一個(gè)負(fù)責(zé)生成偽圖，另一個(gè)負(fù)責(zé)鑒別偽圖，對抗博弈的方式不斷進(jìn)化，從而達(dá)到以假亂真的水平。

而在更早的2017年，一位名為deepfakes的網(wǎng)友將色情電影中演員的臉替換成好萊塢女星，并將合成視頻在Reddit網(wǎng)站上發(fā)布，引發(fā)全球熱議，遭到大眾對技術(shù)濫用的質(zhì)疑。

這也為AI“換臉”技術(shù)吸引了一波關(guān)注，DeepFake（深度偽造或深度合成）就此成為該技術(shù)的代名詞，同名算法也在Github上開源，導(dǎo)致合成視頻片段大量涌現(xiàn)。

根據(jù)創(chuàng)業(yè)公司Deeptrace報(bào)告顯示，2019年初，互聯(lián)網(wǎng)上流轉(zhuǎn)的、利用DeepFake技術(shù)生成的視頻，共有7964個(gè),僅僅9個(gè)月后，這個(gè)數(shù)字躍升至14678個(gè)，而其中就有高達(dá)96%的DeepFake視頻與色情相關(guān)。

DeepFake技術(shù)的濫用引發(fā)全球擔(dān)憂，也為人臉識別技術(shù)的應(yīng)用推廣帶來了巨大風(fēng)險(xiǎn)。據(jù)稱，2019年底，硅谷人工智能公司Kneron曾使用DeepFake技術(shù)成功欺騙了支付寶和微信支付，并且順利通過機(jī)場、火車站等自助終端檢驗(yàn)。

雖然各國紛紛加強(qiáng)了監(jiān)管措施，譬如美國政府公布了《禁止惡意深度偽造法案》《2019年深度偽造責(zé)任法案》《2019年深度偽造報(bào)告法案》，旨在通過限制DeepFake合成技術(shù)，打擊虛假信息的傳播。但遏制DeepFake技術(shù)濫用的根本手段，還是需要從安全對抗的本質(zhì)上出發(fā)，鑄造更高門檻的防御技術(shù)，以AI應(yīng)對AI，在攻防“互毆”之中不斷增強(qiáng)系統(tǒng)的魯棒性。

為此，科技巨頭們也紛紛加入了這場“安全對抗”的戰(zhàn)役之中。去年9月，谷歌開源了包含3000個(gè)AI生成的視頻數(shù)據(jù)庫，以支持社區(qū)加速開發(fā)DeepFake檢測工具，對抗技術(shù)濫用風(fēng)險(xiǎn)；Facebook也在同年12月發(fā)布了一套“反識別”系統(tǒng)，幫助辨別實(shí)時(shí)影像的真?zhèn)巍?/p>

技術(shù)是中立的，也是雙向發(fā)展的，不會因?yàn)閼峙嘛L(fēng)險(xiǎn)而停滯不前。不久前，英偉達(dá)的研究人員提出了一種新的生成器架構(gòu)，可基于風(fēng)格遷移，將面部細(xì)節(jié)分離出來，并由模型進(jìn)行單獨(dú)調(diào)整，生成的面部圖像比基于傳統(tǒng)GAN技術(shù)更加逼真。

可見，假臉生成和真臉識別的算法對抗將會是持續(xù)的、動(dòng)態(tài)的過程。

對抗樣本的“攻防戰(zhàn)”

第二個(gè)案例是，在2019年的世界黑帽安全大會上，騰訊的研究人員向與會者展示了如何利用一款纏著黑白膠帶的眼鏡，就能解鎖蘋果FaceID。

如果這款技術(shù)還需要“受害人”的被動(dòng)配合——趁“受害人”睡著，將眼鏡戴在“受害人”臉上，那么最新的AI技術(shù)，只需打印一張帶有圖案的紙條貼在腦門上，就能“戳瞎”AI識別系統(tǒng)。

這種黑科技的應(yīng)用，在學(xué)術(shù)上被稱為“對抗樣本”。百度百科對它的定義是“在數(shù)據(jù)集中通過故意添加細(xì)微的干擾所形成的輸入樣本，導(dǎo)致模型以高置信度給出一個(gè)錯(cuò)誤的輸出。”

目前大多數(shù)機(jī)器學(xué)習(xí)的魯棒性都比較差，容易受對抗樣本的影響。樣本經(jīng)過輕微修改后，輸出結(jié)果可能會謬以千里，而且這些細(xì)微的修改人類幾乎無法肉眼識別。

2018年，在GeekPwn國際安全極客大賽中，有選手用對抗樣本攻擊亞馬遜名人識別系統(tǒng)，讓主持人蔣昌建的照片被識別為施瓦辛格。同樣，掌握了對抗樣本（譬如紙條上的圖案），只需在腦門上貼上紙條，就可以“戳瞎”系統(tǒng)，破解身份認(rèn)證的唯一性。

對抗樣本攻擊凸顯了人臉識別技術(shù)的脆弱性，對安全攻防提出了新要求。谷歌于2017年舉辦的對抗樣本攻防賽旨在加快研究對抗樣本，提升機(jī)器學(xué)習(xí)的魯棒性。俗話說，魔高一尺道高一丈，技術(shù)引發(fā)的系統(tǒng)羸弱，最終也須技術(shù)予以修復(fù)。

安全攻防表面上是一場算法間的較量，從產(chǎn)業(yè)的角度出發(fā)，其所體現(xiàn)的是技術(shù)濫用（包括造假、欺騙等）的“低成本、高利潤”特征。

在成本方面，首先，開源社區(qū)雖然顯著降低了AI應(yīng)用開發(fā)門檻，與此同時(shí)也降低了攻擊算法的獲取成本。在換臉“奧巴馬”案例中，DeepFake技術(shù)在Github上開源后，非專業(yè)用戶也可輕松憑借一張照片生成偽造視頻。譬如，2019年初，就有網(wǎng)友利用開源算法將朱茵版《射雕英雄傳》黃蓉的臉換成楊冪，上傳到B站上，引發(fā)網(wǎng)友熱議。

其次，相對快速、花式的算法創(chuàng)新，監(jiān)管滯后也為技術(shù)濫用提供了時(shí)間的溫床。還以DeepFake技術(shù)為例，該技術(shù)早在2017年底出現(xiàn)，法律監(jiān)管卻整整滯后了兩年。直至2019年初，我國網(wǎng)信辦才開始對DeepFake展開嚴(yán)格監(jiān)管。相比慢兩拍的監(jiān)管，DeepFake技術(shù)則在兩年內(nèi)飛速進(jìn)化，并衍生出海量的惡意應(yīng)用。

相對低門檻的技術(shù)獲取，技術(shù)濫用所帶來的不菲利潤，是安全風(fēng)險(xiǎn)和黑灰產(chǎn)的“催化劑”。

譬如上文中提到，互聯(lián)網(wǎng)合成視頻以色情內(nèi)容為主。據(jù)報(bào)道稱，很多網(wǎng)店不僅提供成品視頻，還接受私人訂制，只要買家提供20張照片，就可以快速生成定制化視頻，售價(jià)約為1分鐘20元到50元不等。在某些QQ群的黑產(chǎn)交易中，利用動(dòng)態(tài)人臉識別攻擊技術(shù)，一個(gè)支付類賬號破解售價(jià)約為10元，這樣的生意一天能做到8000元到10000元的流水，而售賣技術(shù)教學(xué)，一個(gè)人學(xué)費(fèi)大概在4000元左右。

隨著人工智能技術(shù)的發(fā)展，信息安全受到各國的高度重視。世界各主要國家都在加強(qiáng)網(wǎng)絡(luò)和信息安全領(lǐng)域的布局和競爭。Gartner預(yù)測，2020年全球信息安全類支出預(yù)計(jì)將增長2.4%，達(dá)到1238億美元。其中，中國安全市場支出將增長7.5%，達(dá)到299億人民幣。按照信息安全支出占比來看，中國信息安全支出占比低于全球。

攻防是信息安全的本質(zhì)。信息的復(fù)制成本幾近于零，這也就誕生了網(wǎng)絡(luò)經(jīng)濟(jì)，催生了互聯(lián)網(wǎng)安全產(chǎn)品市場，造就了360等上規(guī)模的網(wǎng)安公司。

AI算法作為信息技術(shù)之一，通過信息復(fù)制，同樣可以攤薄技術(shù)的生產(chǎn)成本。對于愈加復(fù)雜的信息網(wǎng)絡(luò)，閉門造車、自掃門前雪的方式顯然是不經(jīng)濟(jì)的，引導(dǎo)AI對抗技術(shù)的商業(yè)化落地，是加強(qiáng)網(wǎng)絡(luò)安全的重要途徑之一，也是促進(jìn)AI技術(shù)應(yīng)用和推廣的安全保障。

對于AI防御方而言——主要為AI研發(fā)、應(yīng)用類企業(yè)，及評測、監(jiān)管機(jī)構(gòu)等，除自磨利刃外，可能更好的選擇是與安全市場合作共贏，以提升系統(tǒng)魯棒性，構(gòu)筑AI防御護(hù)城河。

（作者系商湯智能產(chǎn)業(yè)研究院戰(zhàn)略生態(tài)研究主任）