人臉識別時代，如何應對“換臉”危機？

繼2012年“互聯(lián)網(wǎng)+”后，“AI+”成為時代主旋律。然而在隱秘的角落，由AI所引發(fā)的安全風險和“黑灰產(chǎn)”問題正與日俱增。尤其是人臉識別——作為AI技術(shù)落地最廣泛的場景之一，所面臨的安全、倫理和道德等挑戰(zhàn)愈發(fā)嚴峻。

經(jīng)過近些年的快速發(fā)展，人臉識別已和智能硬件解鎖、支付，以及公共服務等身份驗證直接綁定在一起。因面部信息的唯一性，以及作為個人隱私中最敏感、重要的組成部分，一旦出現(xiàn)問題，將會對個人隱私、公共安全造成巨大威脅，故對技術(shù)的安全要求和標準相對更高。

以下，我們通過兩個較為典型案例，來說一說AI攻防對人臉識別/人工智能技術(shù)和行業(yè)發(fā)展的作用和意義。

“換臉”技術(shù)的攻防戰(zhàn)

2018年，一段“奧巴馬”嗆聲特朗普的視頻在全美瘋傳。事后，這個視頻被證明為偽造，其背后所利用的即是AI“換臉”技術(shù)。該技術(shù)是基于生成對抗網(wǎng)絡（GANs），通過兩個模型——一個負責生成偽圖，另一個負責鑒別偽圖，對抗博弈的方式不斷進化，從而達到以假亂真的水平。

而在更早的2017年，一位名為deepfakes的網(wǎng)友將色情電影中演員的臉替換成好萊塢女星，并將合成視頻在Reddit網(wǎng)站上發(fā)布，引發(fā)全球熱議，遭到大眾對技術(shù)濫用的質(zhì)疑。

這也為AI“換臉”技術(shù)吸引了一波關(guān)注，DeepFake（深度偽造或深度合成）就此成為該技術(shù)的代名詞，同名算法也在Github上開源，導致合成視頻片段大量涌現(xiàn)。

根據(jù)創(chuàng)業(yè)公司Deeptrace報告顯示，2019年初，互聯(lián)網(wǎng)上流轉(zhuǎn)的、利用DeepFake技術(shù)生成的視頻，共有7964個,僅僅9個月后，這個數(shù)字躍升至14678個，而其中就有高達96%的DeepFake視頻與色情相關(guān)。

DeepFake技術(shù)的濫用引發(fā)全球擔憂，也為人臉識別技術(shù)的應用推廣帶來了巨大風險。據(jù)稱，2019年底，硅谷人工智能公司Kneron曾使用DeepFake技術(shù)成功欺騙了支付寶和微信支付，并且順利通過機場、火車站等自助終端檢驗。

雖然各國紛紛加強了監(jiān)管措施，譬如美國政府公布了《禁止惡意深度偽造法案》《2019年深度偽造責任法案》《2019年深度偽造報告法案》，旨在通過限制DeepFake合成技術(shù)，打擊虛假信息的傳播。但遏制DeepFake技術(shù)濫用的根本手段，還是需要從安全對抗的本質(zhì)上出發(fā)，鑄造更高門檻的防御技術(shù)，以AI應對AI，在攻防“互毆”之中不斷增強系統(tǒng)的魯棒性。

為此，科技巨頭們也紛紛加入了這場“安全對抗”的戰(zhàn)役之中。去年9月，谷歌開源了包含3000個AI生成的視頻數(shù)據(jù)庫，以支持社區(qū)加速開發(fā)DeepFake檢測工具，對抗技術(shù)濫用風險；Facebook也在同年12月發(fā)布了一套“反識別”系統(tǒng)，幫助辨別實時影像的真?zhèn)巍?/p>

技術(shù)是中立的，也是雙向發(fā)展的，不會因為懼怕風險而停滯不前。不久前，英偉達的研究人員提出了一種新的生成器架構(gòu)，可基于風格遷移，將面部細節(jié)分離出來，并由模型進行單獨調(diào)整，生成的面部圖像比基于傳統(tǒng)GAN技術(shù)更加逼真。

可見，假臉生成和真臉識別的算法對抗將會是持續(xù)的、動態(tài)的過程。

對抗樣本的“攻防戰(zhàn)”

第二個案例是，在2019年的世界黑帽安全大會上，騰訊的研究人員向與會者展示了如何利用一款纏著黑白膠帶的眼鏡，就能解鎖蘋果FaceID。

如果這款技術(shù)還需要“受害人”的被動配合——趁“受害人”睡著，將眼鏡戴在“受害人”臉上，那么最新的AI技術(shù)，只需打印一張帶有圖案的紙條貼在腦門上，就能“戳瞎”AI識別系統(tǒng)。

這種黑科技的應用，在學術(shù)上被稱為“對抗樣本”。百度百科對它的定義是“在數(shù)據(jù)集中通過故意添加細微的干擾所形成的輸入樣本，導致模型以高置信度給出一個錯誤的輸出。”

目前大多數(shù)機器學習的魯棒性都比較差，容易受對抗樣本的影響。樣本經(jīng)過輕微修改后，輸出結(jié)果可能會謬以千里，而且這些細微的修改人類幾乎無法肉眼識別。

2018年，在GeekPwn國際安全極客大賽中，有選手用對抗樣本攻擊亞馬遜名人識別系統(tǒng)，讓主持人蔣昌建的照片被識別為施瓦辛格。同樣，掌握了對抗樣本（譬如紙條上的圖案），只需在腦門上貼上紙條，就可以“戳瞎”系統(tǒng)，破解身份認證的唯一性。

對抗樣本攻擊凸顯了人臉識別技術(shù)的脆弱性，對安全攻防提出了新要求。谷歌于2017年舉辦的對抗樣本攻防賽旨在加快研究對抗樣本，提升機器學習的魯棒性。俗話說，魔高一尺道高一丈，技術(shù)引發(fā)的系統(tǒng)羸弱，最終也須技術(shù)予以修復。

安全攻防表面上是一場算法間的較量，從產(chǎn)業(yè)的角度出發(fā)，其所體現(xiàn)的是技術(shù)濫用（包括造假、欺騙等）的“低成本、高利潤”特征。

在成本方面，首先，開源社區(qū)雖然顯著降低了AI應用開發(fā)門檻，與此同時也降低了攻擊算法的獲取成本。在換臉“奧巴馬”案例中，DeepFake技術(shù)在Github上開源后，非專業(yè)用戶也可輕松憑借一張照片生成偽造視頻。譬如，2019年初，就有網(wǎng)友利用開源算法將朱茵版《射雕英雄傳》黃蓉的臉換成楊冪，上傳到B站上，引發(fā)網(wǎng)友熱議。

其次，相對快速、花式的算法創(chuàng)新，監(jiān)管滯后也為技術(shù)濫用提供了時間的溫床。還以DeepFake技術(shù)為例，該技術(shù)早在2017年底出現(xiàn)，法律監(jiān)管卻整整滯后了兩年。直至2019年初，我國網(wǎng)信辦才開始對DeepFake展開嚴格監(jiān)管。相比慢兩拍的監(jiān)管，DeepFake技術(shù)則在兩年內(nèi)飛速進化，并衍生出海量的惡意應用。

相對低門檻的技術(shù)獲取，技術(shù)濫用所帶來的不菲利潤，是安全風險和黑灰產(chǎn)的“催化劑”。

譬如上文中提到，互聯(lián)網(wǎng)合成視頻以色情內(nèi)容為主。據(jù)報道稱，很多網(wǎng)店不僅提供成品視頻，還接受私人訂制，只要買家提供20張照片，就可以快速生成定制化視頻，售價約為1分鐘20元到50元不等。在某些QQ群的黑產(chǎn)交易中，利用動態(tài)人臉識別攻擊技術(shù)，一個支付類賬號破解售價約為10元，這樣的生意一天能做到8000元到10000元的流水，而售賣技術(shù)教學，一個人學費大概在4000元左右。

隨著人工智能技術(shù)的發(fā)展，信息安全受到各國的高度重視。世界各主要國家都在加強網(wǎng)絡和信息安全領域的布局和競爭。Gartner預測，2020年全球信息安全類支出預計將增長2.4%，達到1238億美元。其中，中國安全市場支出將增長7.5%，達到299億人民幣。按照信息安全支出占比來看，中國信息安全支出占比低于全球。

攻防是信息安全的本質(zhì)。信息的復制成本幾近于零，這也就誕生了網(wǎng)絡經(jīng)濟，催生了互聯(lián)網(wǎng)安全產(chǎn)品市場，造就了360等上規(guī)模的網(wǎng)安公司。

AI算法作為信息技術(shù)之一，通過信息復制，同樣可以攤薄技術(shù)的生產(chǎn)成本。對于愈加復雜的信息網(wǎng)絡，閉門造車、自掃門前雪的方式顯然是不經(jīng)濟的，引導AI對抗技術(shù)的商業(yè)化落地，是加強網(wǎng)絡安全的重要途徑之一，也是促進AI技術(shù)應用和推廣的安全保障。

對于AI防御方而言——主要為AI研發(fā)、應用類企業(yè)，及評測、監(jiān)管機構(gòu)等，除自磨利刃外，可能更好的選擇是與安全市場合作共贏，以提升系統(tǒng)魯棒性，構(gòu)筑AI防御護城河。

（作者系商湯智能產(chǎn)業(yè)研究院戰(zhàn)略生態(tài)研究主任）