人工智能技术发展到今天,已经随处可见由AI深度伪造与合成技术生产的各种互联网内容。且因此技术,还发生过数十起全球知名的“恶性事件”,让这项技术背后的安全风险逐渐被社会所知。
深度伪造概念首次出现在美国。2017年12月,一位名为“DeepFakes”的用户在美国社交媒体平台发布换脸“假视频”。2018年1月,“DeepFakeApp”用户创建“FakeApp”并开源,“深度伪造(Deepfake)” 一词由此首次正式被提出。
此后,该技术通过“换脸”的方式逐渐陷入恶意滥用的泥沼。像伪造色情视频、政治人物演讲、企业家虚假新闻等层出不穷。
在AI技术发展的过程中,利用AI技术“改变人在数字世界中的外貌”的确是一个典型的“技术普惠”场景,但此类应用就如同潘多拉魔盒一样,一旦任其不受控制地被滥用,势必会违背科技创新的“向善”初心。今天,网易易盾安全专家团队针对“AI换脸”整理了一份《十问十答》,希望为大家完整地揭晓关于“AI换脸”的方方面面。
AI换脸是一种基于深度学习的技术,通过生成式人工智能将一个人的面部特征替换到另一个人的图像或视频中。其核心算法包括生成对抗网络(GAN)和扩散模型(Diffusion Model)。GAN由生成器(生成伪造脸)和判别器(判断真伪)组成,通过对抗训练实现逼真效果;扩散模型则通过逐步加噪与去噪过程生成高质量图像。
AI换脸不仅限于静态图像,还能处理动态视频,结合语音合成(如TTS技术)实现“深度伪造”(Deepfake),广泛应用于娱乐与欺诈场景。
当前AI换脸技术已达到高度成熟阶段。从十年前的低分辨率黑白图像,到如今的高清彩色视频,生成质量显著提升。扩散模型的兴起克服了GAN训练不稳定和多样性不足的问题,使得生成的脸部细节(如皮肤纹理、光影效果)几可乱真。
学术界与产业界的结合进一步加速了技术迭代,例如开源工具(如DeepFaceLab)让普通用户也能轻松上手。即使专业团队也可能被蒙蔽,技术成熟度已接近“肉眼难辨”的临界点。
■ 影视制作:如《速度与激情7》中,保罗·沃克去世后,AI将其面部特征移植到替身演员身上,完成剧情,节省了重拍成本。
■ 虚拟主播与直播:杭州新闻频道的AI主播实现零失误播报,授权直播可替代无法到场的主播。
■ 游戏与沉浸式体验:通过将玩家面部映射到游戏角色(如《赛博朋克2077》中的自定义系统),提升互动性。
■ 教育与文化传承:复原历史人物形象,用于纪录片或虚拟讲解。这些应用利用AI的高效性与创造力,推动行业创新。
■ 金融诈骗:例如黑产伪造公司高管视频召开会议,骗取财务转账,损失可达数百万。
■ 肖像权侵犯:如雷军被恶搞视频播放量超1亿,或剧组用黄晓明、赵丽颖的脸生成魔幻合照,引发法律纠纷。
■ 舆论操控:某国选举中,AI伪造候选人视频散布虚假言论,影响选民判断。
■ 社会信任危机:例如西藏地震假图,误导救援并浪费资源,凸显其破坏力。专家警告,若技术滥用加剧,可能导致“有图无真相”的普遍怀疑,动摇社会信用基础。
随着生成技术进步,普通人肉眼识别难度加大,但仍可尝试以下方法。
■ 动态交互测试:要求视频对象挥手遮脸或按压鼻子,真人脸保持一致性,而AI生成的脸可能出现重影、模糊或形变(如直播中“狂飙”视频的手部瑕疵)。
■ 细节观察:检查物理异常,如手指数量(早期AI常生成6指)、动作不连贯性,或背景与人物光影不匹配。
■ 元数据核查:查看内容是否标注“AI生成”水印——中国《人工智能生成内容标识办法》要求平台强制标注。
■ 多模态验证:结合语音、动作与上下文判断,如声音与口型不同步可能是伪造线索。这些方法虽非万能,但在技术完全成熟前仍有一定效用。
AI换脸对依赖身份验证或高信任度的行业威胁最突出。
■ 金融行业:伪造高管或客户视频绕过KYC(Know Your Customer)验证,盗取资金。
■ 电商与直播带货:冒充名人进行虚假代言,损害消费者权益与品牌声誉。
■ 社交平台:伪装熟人实施“杀猪盘”诈骗,例如微信视频欺诈案例。
■ 政务服务:直播中提到,黑产用AI生成活体视频,结合泄露的身份证信息盗用银行卡,涉及个人隐私与公共安全。
■ 这些行业因涉及资金流转或敏感数据,成为黑产首要攻击目标。
专业检测需结合多层次技术手段,在部分较为复杂的场景下甚至需要人与技术的结合。
■ 活体检测:通过生物特征(如眨眼、点头)区分静态翻拍与动态人脸,基于红外或3D深度感知技术。
■ 设备风险识别:分析设备行为,如虚拟摄像头注入预制视频,或相机劫持篡改输入流,网易易盾通过安全实验室研究黑产手法提升检测率。
■ AI算法分析:提取伪造痕迹,如频率域异常(生成图像的高频噪声)、时序不一致性(眨眼节奏异常),或多模态特征(音画不同步)。
■ 综合风控:事前拦截作弊设备、事中检测伪造内容、事后迭代模型。例如网易易盾的方案:从设备到算法的全链路防御体系。
■ 数据瓶颈:训练模型需大量伪造数据,但黑产攻击类型多样且更新快,开源伪造数据集(如FFHQ)覆盖有限,导致模型难以泛化。
■ 泛化性不足:单一模型可能在特定数据集上表现优异,但在新生成技术(如最新扩散模型)面前失效,需持续对抗升级。
■ 实时性要求:金融、政务场景需毫秒级检测,而复杂算法计算成本高,难以兼顾效率与精度。
■ 攻防博弈:黑产可通过数据增强或对抗样本绕过检测,如活体视频伪造,凸显“魔高一丈”的动态困境。
■ 法律层面:中国《网络安全法》及《人工智能生成内容标识办法》要求平台识别并标注AI生成内容,未尽责可能承担连带责任。
■ 技术层面:平台需部署AI检测模型(如基于扩散模型的伪造检测)与水印技术,确保内容可追溯。
网易易盾安全专家实践建议:不宜全面剔除AI内容(因其娱乐价值),但应加强审核与标识,可借鉴类似“不可篡改水印”机制,平衡创新与安全。平台若仅提供工具而未主动传播谣言,责任有限。
■ 正面影响:加速内容创作,如《哪吒2》若用AI生成视频,可缩短制作周期;教育领域可复现历史场景,提升沉浸感。
■ 负面风险:若监管滞后,可能放大虚假信息传播,如直播中西藏地震假图浪费救援资源,或AI生成新闻添油加醋引发谣言。
■ 社会趋势:技术门槛降低(开源工具普及)将使伪造泛滥,信任危机或重塑信息验证机制。
专家预测,未来需结合区块链(如内容溯源)与立法(如强制水印与处罚机制)应对。短期内,攻防博弈将持续,长期看,技术与伦理的平衡至关重要。