當前位置: 華文世界 > 科技

一張價值50元的人臉,AI攻防戰火熱朝天

2024-09-03科技

文 | AI鯨選社,作者 | 楊曉鶴

「上面是我在大理拍的照片,下面是被人ai換臉過的,400多萬觀看,30萬點贊。甚至背景還用ai稍作了改變,真的被震驚到了。」

小紅書網友蛋蛋愛打架,最近發現自己的形象被AI換臉用於網紅照片,而且還特別火,這讓她非常吃驚。很多網友支持她發送律師函,免得臉部數據被用於更多的未知用途。

其實,AI換臉不是最近剛出現的技術,而是越來越以假亂真,越來越多模態。當然,AI換臉辨識技術也在飛速發展,隨著AI換臉的威脅越來越大,這場攻防大戰正越來越激烈。

就在8月28日的同一天時間,網友用Deepfake 技術換臉馬斯克,直播獲得上萬人打賞,緊接著浙江大學與阿萊恩全部共同研發了一種新型人臉私密保護方案——FaceObfuscator。

看似人臉保護技術出現強力護盾,但技術對抗從來不是一簇而終。6年前,AI換臉技術開始興起,但那時候人物表情還比較僵硬,也無法用於直播場景中,現在AI換臉技術已經非常成熟。

「以後我的手機是不是被撿到,就能被刷臉開啟了?」「手機的刷臉支付到底還能不能用」等各種輿論的聲音,呼籲保護使用者的數位資產安全的聲音也越來越強烈。

萬人打賞AI馬斯克,AI換臉贏了一局

「hi, how are you,I'm musk。」這是AI換臉的馬斯克在直播,他的直播間非常火熱,換臉馬斯克一邊展示大火箭模型,一邊捏捏自己的臉。

這位主播自己都笑得不行,他是沒想到效果非常逼真,甚至許多連線的粉絲表示根本無法區分真假,上萬人給這位主播打賞。這位「馬斯克」也是非常博學,對SpaceX、Tesla的Cybertruck、AI技術、Neuralink等技術都如數家珍,還熱心地給一位剛畢業的學生講述了一些工作建議。

AI換臉的馬斯克能在直播間栩栩余生,那以後直播間中馬雲、劉強東、黃仁勛、賈伯斯就都隨時能出現。直播間出現這些名人AI分身,可能對高知的人群威脅不大,就怕『AI勒東』等更加泛濫。

公開數據顯示,截止2024年,已經有8名長的非常像勒東的網紅,被提起公訴。然而,很多阿姨到此還不認為自己被騙,認為那些騙他錢的假勒東就是本人,惹得勒東親自呼籲上當的阿姨們不要繼續相信,他不會私信聊任何人。

下沈市場對一個相像的明星都執著得相信,何況是AI換臉的明星,畢竟AI可以將長相和聲音完美復刻。而且這項技術也在迅速白菜化,一位AI行業人士告訴鯨哥,現在 GitHub上,有超過 3000 個與 「AI換臉」技術相關的儲存庫,很多外網的灰色社交頻道中更多。 這些「AI換臉」也十分便宜,價格最低的「AI換臉」視訊只需要2 美元,而需求復雜的一個「深度偽造」視訊要100美元起。

現在,國外很多幣圈人用假馬斯克做代言廣告,灰色業務有些爆發;國內則是針對下沈市場欺詐行為居多。

2023年,呼和浩特一位男士就被這樣的AI換臉視訊電話,詐騙去了40多萬元。被騙人表示,自己從沒想到視訊對面的微信好友盡然是AI換臉的。

現在情況不一樣了,就在AI馬斯克直播的同一天,一項應對這種這種亂象的技術也被釋出。8月28日,針對人臉特征重構私密威脅,浙江大學與阿萊恩全部共同研發了一種新型人臉私密保護方案——FaceObfuscator[2]。

據公布,FaceObfuscator 在六個公開人臉數據集上進行了測試,實驗結果表明,其無法被重構為人臉影像,有效保護了人臉隱,在 COS(余弦相似度)和 SRRA(重放攻擊成功率)指標上表現優異,顯著降低了重構攻擊的成功率。

簡單來說,"FaceObfuscator"就是一種用來模糊或者隱藏人臉的工具或技術。例如,在監控視訊中,可能會使用FaceObfuscator來模糊掉路人的臉部,以保護他們的私密不被侵犯。FaceObfuscator 可套用於監控辨識、刷臉支付、門禁考勤等場景,服務於安防、金融、教育等多個行業領域。

當然,這項技術確實還存在一個問題,就是直播間中的換臉,無法辨識和防護。畢竟直播間中的換臉,並沒有什麽裝置需要去驗證,只要觀眾覺得像就行。

這一輪AI大戰,AI換臉憑借更多場景,讓AI辨識在這一場景中無能為力。做AI安防的頂象科技內部人士告訴鯨哥,「 直播間AI換臉,以前最常用的辨識方法是讓其捏下鼻子,AI馬斯克直播敢捏臉,就證明這個鑒別方法不是太實用了 。」

但鑒別方式並不是沒有了,這就需要更多的技術方案,融入各種社交產品中。

多輪攻防戰鬥,AI換臉對抗螺旋上升

最早是在2018年,國外研究人員建立了一個假的歐巴馬演講視訊,這部視訊面部表情逼真,口型與音訊也比較同步。

當時這個視訊采用的是生成對抗網路(GANs),GANs一度是最流行的AI換臉技術。它包含兩個神經網路:一個生成器和一個判別器。生成器負責建立假影像,而判別器則試圖區分真假。透過不斷的對抗訓練,系統能夠生成越來越逼真的換臉效果。

這時期,基於GANs技術的AI換臉最知名的軟體是DeepFaceLab,這款軟體其實是基於特定需求研發,它被廣泛用於一些好萊塢電影中的特效場景。

但很快這項技術就被擴散,從影視圈向極客、灰產等圈層發展,違規的換臉視訊作品和用於詐騙的換臉資料也開始從層出不窮。

這時期,防守方主要有2種方式鑒別AI換臉。第一是視覺特征分析,研究人員開發了演算法來檢測換臉視訊中的不自然特征,如不一致的眨眼頻率、不自然的面部紋理等。當時Facebook與密西根州立大學合作開發的DeepFake檢測挑戰賽,就是為了吸引技術人員參賽,為這項技術添磚加瓦。

第二項手段是音訊-視訊不一致性檢測:由於許多換臉視訊使用原始音訊,研究人員開發了演算法來檢測唇動與音訊的微小不一致。

谷歌也在2019年釋出了一個包含3000多個Deepfake視訊的數據集,用於訓練檢測演算法,其中就包括音視訊同步性分析。這一時期, 技術的防禦手段主要依靠AI換臉視訊技術還不成熟,防守方挑選出不自然、不匹配的內容片段,以此來判斷視訊的真假,說實話還是挺難的。

時間來到2020年,AI換臉行業出現了一種名為神經渲染(Neural Rendering)的技術,能夠在視訊會議中即時進行高品質的換臉。這項技術能夠從單張2D影像重建3D面部模型,然後將其套用到目標視訊中,實作更自然的換臉效果。

由於臉部數據被數位重建,這時候人的各種表情理論上都可以被數位生成,防範的難度進一步增大。所以防守方的主要手段,開始借助數位資產確權技術,來保護大家的臉部私密。

2020年,一家名為Truepic的公司推出了基於區塊鏈的影像驗證系統,被一些新聞機構用於驗證新聞圖片的真實性。透過在區塊鏈上記錄原始視訊的哈希值,可以驗證視訊是否被篡改。

這項技術都是針對特殊人臉視訊的保護,大部份原始視訊都不可能被數位確權,所以保護的範圍太小了。

時間進入到2024年,AI換臉從圖片、視訊走進了直播間,AI換臉技術已經白菜化,防守方也開始從視訊錄入過程中就引入保護源,甚至聯合社會各方一起合作打擊AI換臉灰產。

你的臉部數據安全,不止需要技術守護

時間撥回到2020年,「掃描 一次人臉,給費用50元,絕對保護私密前提下使用 。」

當時在北京的西二旗附近,很多AI創業公司收集人臉數據,價格很便宜。

這些CV(電腦視覺)公司利用人臉數據改進演算法模型,更多大公司試圖找平台合作方進行數據合作。投資人李開復曾口誤說,幫曠視科技搭橋支付寶,利用後者人臉數據訓練了大模型,導致兩家公司都非常緊張,支付寶也急忙辟謠沒有給過其他家公司數據。

不能否認,那時候人臉辨識技術發達後,攝像監控、手機螢幕辨識、掃臉驗證、掃臉支付等業務都開始飛速發展。在生成式人工智慧大火的今天,AI換臉技術迅速在民間流傳,視訊電話詐騙,復刻人臉支付,各種詐騙犯罪活動開始防不勝防。在技術的不斷叠代面前,防守方永遠處理劣勢。

未來會突然出現何種技術,讓AI換臉更容易和更逼真,都是無法預料的事情。因此不能全指望技術,平台的參與也至關重要。

國家在2019年出台規定,要求Deepfake內容必須標明"非真實"字樣。此後,主流互聯網平台也開始參與這場AI換臉攻防戰。

2022年前後,抖音和視訊號等平台上,開始要求AI視訊制作方主動標識是AI生成,或者是平台提示可能是AI作品。一位從事AI美女生成的制作方告訴鯨哥,以前用SD技術生成真人美女,每天都有上千的私信,他們以為這是真人美女,其中不乏一些騷擾資訊。

而在標識為AI生成後,私信數量就開始急劇下跌,現在不過百了,他以前是靠引流到私域賣貨,現在得考慮用AI換臉直播了,這一型別也正在被嚴打 根據抖音資訊安全中心的統計,今年1月至今,已經有7.3萬個帳號因為涉嫌欺詐而被收回了直播許可權。

很多時候,抖音要求AI制作的內容必須做出顯著標識。騰訊平台上的社交和視訊產品,也非常需要AI鑒別。所以,騰訊雲也推出換臉甄別(Anti-Deepfake,ATDF)技術,利用AI技術反制換臉、合成臉這類AI技術的濫用,並提供對視訊影像中的人臉進行全面分析的服務。

平台作為傳播的渠道,最重要的手段是擁有其換臉後積攢的粉絲、打賞等報酬資產,所以利用封禁帳號等手段,使得亂用技術的人投鼠忌器,是當下最有效的打擊形式。而拋開直播間的AI換臉,市面上的企業,則更多利用第三方安全服務,打擊AI換臉的考勤、騙保等等事件。

頂象等第三方為銀行、保險等公司提供的安全方案,則是在裝置環境監測、人臉資訊、影像鑒別、使用者行為、互動狀態等很多維度資訊進行綜合鑒別。

內部人士告訴鯨哥,他們甚至發現了一個集團上10萬人次存在利用虛假形象打卡行為,集團損失上億元。

如今,AI換臉技術被灰色利益鼓舞,未來還會飛速前進演化,而防護方只能在後面見招拆招,所以更多需要每個人提高安全警惕,不是每個『馬斯克』都是真的馬斯克。