文本 |AI Whale Selection Society, 作者 |杨小河
“以上是我在大理拍的照片,下面是一张被AI改变的脸,浏览量超过400万次,点赞量超过30万次。”甚至背景也用 AI 略有变化,我真的很震惊。”
小红书网友丹丹爱打架,最近发现她的形象被AI换脸用于网红照片,特别火爆,这让她非常惊讶。很多网友都支持她发律师函,这样人脸数据就不会被用于更多不为人知的目的。
其实,AI 换脸并不是最近才出现的技术,而是越来越假、越来越真实,越来越模态化。当然,AI 人脸识别技术也在迅速发展,随着 AI 换脸威胁的增长,这场攻守战也越来越激烈。
8 月 28 日当天,网友们使用 Deepfake 技术换了马斯克的脸,直播获得了数万人的奖励,随后浙江大学和阿里的安全部门联合开发了一种新型的人脸隐私保护方案——FaceObfuscator。
看起来护脸技术有强大的盾牌,但技术对抗从来没有以集群的形式结束。6 年前,AI 换脸技术开始崛起,但当时角色的表情还是比较生硬的,不能在直播场景中使用,现在 AI 换脸技术已经非常成熟了。
“以后会不会捡到我的手机,刷脸就能打开?”“手机刷脸支付还能用吗”等舆论,呼吁保护用户数字资产安全的声音也越来越激烈。
1万人打赏艾马斯克,艾改脸赢了一场比赛
“嗨,你好吗,我是马斯克。”“这是马斯克在直播中用AI换脸,他的直播间很火爆,换脸马斯克一边捏着脸一边展示大火箭模型。”
主播本人笑不出来,没想到效果竟然很逼真,甚至很多连线粉丝都表示真假分不清,上万人打赏主播。这个“马斯克”也博学多才,对SpaceX、特斯拉的Cybertruck、AI技术、Neuralink等技术了如指掌,还热情地给一位应届毕业生讲了一些工作建议。
用AI改脸的马斯克,可以在直播间里栩栩如生地度过余生,然后杰克·马、刘强东、黄仁勋、乔布斯随时都会出现在直播间。这些明星 AI 克隆人出现在直播间,或许不会对高知县人民构成太大威胁,但恐怕“AI 乐洞”等会更加泛滥。
公开数据显示,截至 2024 年,已有 8 位长得非常像乐东的网红被起诉。不过,很多阿姨们还是不觉得自己被骗了,还觉得骗他钱财的假乐冬就是他自己,还挑衅乐冬亲自呼吁被骗的阿姨们不要继续相信,他也不会私下和任何人说话。
这沉市痴迷于
相信一个相似的明星,更别说一个有AI变脸的明星,毕竟AI都能完美再现容貌和声音。而这项技术也在迅速成为白菜,一位 AI 行业人士告诉鲸鲸兄弟,现在 GitHub 上有超过 3000 个与“AI 换脸”技术相关的仓库,在互联网上的灰色社交渠道中还有更多。这些“AI 换脸”视频也非常便宜,价格最低的“AI 换脸”视频价格低至 2 美元,而要求复杂的“deepfake”视频起价为 100 美元。
现在国外的币圈很多人都在用假马斯克做代言广告,一些灰色生意炸了锅;在中国,欺诈主要发生在下沉的市场。
2023 年,呼和浩特一名男子被此类 AI 换脸视频通话骗取了 40 多万元。被骗者表示,他从来没想过,视频另一边的微信好友完全是AI换脸。
现在情况不同了,在 AI Musk 直播的同一天,一项应对这种乱象的技术也发布了。8 月 28 日,针对人脸特征重建带来的隐私威胁,浙江大学与阿里巴巴安全部联合开发了一种新型的人脸隐私保护方案 FaceObfuscator [2]。
据公众称,FaceObfuscator 在 6 个公共人脸数据集上进行了测试,实验结果表明,它无法重建成人脸图像,有效保护了人脸隐藏,在 COS(余弦相似度)和 SRRA(重放攻击成功率)指标上表现良好,显著降低了重构攻击的成功率。简单
来说,“FaceObfuscator” 是一种用于模糊或隐藏人脸的工具或技术。例如,在监控视频中,FaceObfuscator 可用于模糊路人的面部,以保护他们的隐私免受侵犯。FaceObfuscator 可应用于监控识别、人脸支付、门禁考勤等场景,服务于安防、金融、教育等多个行业。
当然,这项技术还存在一个问题,那就是直播间的换脸无法被识别和保护。毕竟,直播间换脸不需要验证的设备,只要观众觉得就好。
在这一轮 AI 大战中,AI 换脸依赖的场景更多,以至于 AI 识别在这个场景中无能为力。一位做AI安防的鼎翔科技内部人士告诉鲸哥,“直播间最常用的识别方法就是让他捏鼻子,AI马斯克在直播中敢掐他的脸,这证明这种识别方法不太实用。”
然而,识别方法并没有消失,这需要更多的技术解决方案融入到各种社交产品中。
多轮攻守战,AI 换面对抗螺旋
早在 2018 年,外国研究人员就制作了一段奧巴馬演讲的假视频,该视频具有逼真的面部表情和与音频同步的口型同步。
当时,该视频基于生成对抗网络 (GAN),这曾经是最流行的 AI 换脸技术。它包含两个神经网络:一个生成器和一个判别器。生成器负责创建假图像,而判别器则试图区分真假。通过持续的对抗训练,系统能够产生越来越逼真的换脸效果。
在此期间,最知名的基于 GAN s 技术的 AI 换脸软件是 DeepFaceLab,它实际上是根据特定需求开发的,在一些好莱坞电影中被广泛应用于特效场景。
但很快这项技术就开始蔓延开来,从影视行业到极客、灰色行业等圈子,非法换脸视频作品和用于造假的换脸材料也开始层出不穷。
在此期间,防御者识别 AI 换脸主要有两种方式。首先是视觉特征分析,研究人员开发了算法来检测换脸视频中的不自然特征,例如不一致的眨眼频率、不自然的面部纹理等。当时,Facebook 与密歇根州立大学合作开发了 DeepFake 检测挑战赛,以吸引技术人员参与并为该技术做出贡献。
第二个是音视频不一致检测:由于许多换脸视频使用原始音频,研究人员开发了算法来检测嘴唇动作和音频之间的细微不一致。
谷歌还在 2019 年发布了一个包含 3000 多个深度伪造视频的数据集,用于训练检测算法,包括音频和视频同步分析。在此期间,技术主要依靠AI换脸的防御方法视频技术还不成熟,防御者挑选出不自然、不匹配的内容片段来判断视频的真伪,说实话还是挺难的。
2020 年,AI 换脸行业出现了一种称为神经渲染的技术手机捏脸软件,该技术能够在视频会议期间实时进行高质量的换脸。该技术能够从单个 3D 图像中重建 2D 人脸模型,然后将其应用于目标视频,以获得更自然的换脸效果。
由于面部数据是数字化重建的,理论上此时可以数字化生成人的各种表情,预防的难度进一步增加。因此,防御者的主要手段开始使用数字资产确认技术来保护每个人的面部隐私。
2020 年,一家名为 Truepic 的公司推出了一个基于区块链的图像验证系统,一些新闻机构使用它来验证新闻图像的真实性。通过在区块链上记录原始视频的哈希值,可以验证视频是否未被篡改。
这项技术针对的是特殊人脸视频的保护,大部分原始视频无法进行数字确认,因此保护范围太小。
2024年,AI换脸已经从图片和视频进入直播间,AI换脸技术已经大白菜,捍卫者也开始从视频入场过程中引入保护源,甚至联合社会各方齐心协力,打击AI换脸灰色产业。
人脸数据的安全需要的不仅仅是技术
回到 2020 年,“扫一张脸一次,给 50 元手续费,在绝对隐私保护的前提下使用。”
当时,在北京西二齐附近,很多 AI 创业公司都以非常便宜的价格收集人脸数据。
这些 CV(计算机视觉)公司利用人脸数据来改进算法模型,越来越多的大公司正在努力寻找数据合作的平台合作伙伴。投资人李开复曾犯了一个错误,他说自己帮助旷视科技桥接了支付宝,并利用后者的人脸数据训练了一个大模型,这让两家公司都非常紧张,支付宝也赶紧辟谣说没有给其他公司数据。
不可否认,在当时的人脸识别技术发展起来之后,摄像头监控、手机屏幕识别、人脸扫描验证、人脸扫描支付等业务开始迅速发展。在当今生成式人工智能时代,AI 换脸技术在人群中迅速流传,视频通话诈骗、复制刷脸支付,各种欺诈和犯罪活动开始难以预防。面对技术的不断迭代,防守总是会对付劣势。
无法预测未来会突然出现什么样的技术,让 AI 换脸更轻松、更逼真。因此,这并不全是关于技术,平台的参与至关重要。
2019 年,该州出台了一项规则,要求 deepfake 内容标有“not authentic”字样。此后,主流互联网平台也开始参与这场 AI 换脸攻守战。
2022 年左右,抖音、视频号等平台开始要求 AI 视频制作者主动识别是否是 AI 生成的,或者平台暗示它们可能是 AI 作品。一位从事 AI 美女生成的制作人告诉鲸哥,以前他用 SD 技术生成真美女,每天都有上千条私信,认为这是真美女,还有一些骚扰信息。
而在AI生成身份后,私信数量开始急剧下降手机捏脸软件,现在已经不超过一百条了,以前他靠着分流在私域卖货,现在他又要考虑用AI来换脸直播了,这种类型也是在被打压的抖音安保中心的统计, 自今年 1 月以来,已有 73,000 个账号因涉嫌欺诈而被撤销直播权限。
在许多情况下,抖音要求对 AI 生成的内容进行醒目标记。腾讯平台上的社交和视频产品也需要 AI 识别。因此,腾讯云也推出了 Anti-Deepfake (ATDF) 技术,利用 AI 技术对抗换脸、合成人脸等 AI 技术的滥用,并提供视频图像中人脸的综合分析服务。
作为沟通的渠道,平台最重要的手段就是把变脸后的粉丝、奖励等回报资产积累起来,所以利用封号等手段,让使用科技的人乱投老鼠,就是最有效的打压形式。除了直播间的 AI 换脸外,市场上的公司正在更多地利用第三方安全服务来打击 AI 换脸考勤、保险欺诈等事件。
鼎象等第三方为银行、保险公司等公司提供的安全解决方案,是设备环境监控、人脸信息、图像识别、用户行为、交互状态等信息多维度的全面识别。
知情人告诉鲸哥,他们甚至发现有10万人的团子用假图打卡,团里损失了上亿。
如今,AI 换脸技术受到灰色利益的鼓励,未来会迅速进化,保护方只能看到背后的诡计,所以更需要大家对安全保持警惕,并不是每个“马斯克”都是真正的马斯克。
