反击韩国N号房20！当普通人在AI换脸面前一败涂地他们用魔法打败魔法

 

  最近在韩国发生的「N 号房 2.0」事件，再次把 Deepfake（深度伪造）这个老生常谈的话题带到了台前。

  加害人们聚集在 Telegram，用 AI 将女性照片合成为裸照，昭示着，Deepfake 的包围圈，早已从娱乐明星、政治人物，扩张到你我这样的普通人。

  在这个 AI 成为显学的时代，我们想要了解，看似并不新鲜的、但近年越发普及的技术，怎么样影响了日常生活。

  Deepfake 进化到什么程度了，会造成什么危害？如何用技术反 Deepfake？普通人怎么防范 Deepfake？

  我们和瑞莱智慧算法科学家陈鹏博士聊了聊这样一些问题。瑞莱智慧成立于 2018 年，由清华大学人工智能研究院孵化，深耕 AI 鉴伪多年。

  陈鹏告诉我们，普通人在鉴别 Deepfake 上已经一败涂地，反 Deepfake 还得看 AI。

  Deepfake 最早兴起于 2017 年的「美版贴吧」Reddit，主要形式是将明星的脸替换到色的主角身上，或者恶搞政界人物。

  如今，造谣、搞黄色，仍然是 Deepfake 的主流用途，只是变得更容易。

  陈鹏解释，采集一张照片也足够换脸，当然，采集的数据越多，痣、五官等人脸的细节也会被更好地建模，换脸的效果就越逼线 月，两位德国艺术家的行为艺术项目，就是一个活生生的例子。

  NUCA 其实不知道你的裸体是怎样，只是通过一系列分析你的性别、面部、年龄、体型等，呈现 AI 眼里你的裸体。

  粗劣吗？或许不重要，几秒之间，你已经在 AI 面前暴露无遗，别人说不定也会相信这是你。

  通过生成式 AI 模型（GAN、VAE、扩散模型等），合成或伪造逼真的内容，包括文字、图像、音频、视频，都可以称为 Deepfake。

  2023 年初，科技记者 Joseph Cox 拨打银行的自动服务热线，播放自己用 ElevenLabs 克隆的 AI 语音「我的声音就是我的密码」，要求检查余额，没想到语音验证成功了。

  当然，想要更精准地克隆，复制音调等说话风格，比如让郭德纲说英文相声、让霉霉讲中文，仍然需要更加多的语料。

  虚假消息和谣言，是文字 Deepfake 的重灾区，陈鹏说，以前还需要人类自己写文案，但现在针对某个事件，AI 可以生成各种言论，然后自动化地投放到社交媒体。

  一是，文生图、文生视频等生成式 AI 技术有了突破，二是，算力越发普及，消费级的显卡已经能够运行生成式 AI 模型。

  还有很重要的一点，Deepfake 这项技术，被优化成了各种门槛更低的工具。

  如果不懂技术的小白依旧是觉得有难度，也有专业技术人员直接把饭喂到嘴边，对模型进行封装，编写成简单好用的软件供玩家免费下载，自己赚点广告费，包括很多一键脱衣的 app。

  至于音频的 Deepfake，也已经有成熟的商业公司，以 SDK（开发工具包）或者 API（应用编程接口）的方式，让用户轻松使用服务。

  用户甚至不需要一台带有显卡的设备部署程序，而是将音频等内容上传到网站，等待生成结果，然后下载。

  所以，复杂的技术原理隐藏幕后，在用户面前的是一个个「开箱即用」的界面，连青少年们也能随手制造虚假信息。

  今年年初，一家跨国公司香港分公司因为 AI 被骗走了 2500 万美元。受害人参加了一次视频会议，其他人都是经过「AI 换脸」和「AI 换声」的诈骗分子。

  如果别人拿 Deepfake 来骗你，钻 AI 的空子，是其中一种办法，但有保质期。

  举个例子，我们在视频通话时，如果怀疑对方是 AI 换脸，可以引导对方做些特定的动作，比如把手放在面前快速划动几下、大幅度地转动头部。

  如果 AI 换脸背后的模型没有对手部遮挡做专门的优化，那么就会露馅，脸有极大几率会出现在手的背部，或者突然发生扭曲。

  陈鹏开玩笑说，如果诈骗分子觉得你是只待宰的肥羊，存了心要骗你，扒光你的社会化媒体信息，花好几天优化你的模型，那么这一些方法也不保证有用。

  换成专业一些的说法，人类的视觉感知，在语义层次上表现得很好，比如能够轻松分辨出物体或场景的含义，但在处理像素级别的、低层次的细微差别时，感知能力不如 AI 模型。

  从这个角度看，陈鹏认为，普通人在分辨 Deepfake 上已经一败涂地，专家或许还有一战之力，因为看得太多，分析能力比较全面，能够准确的看出某个地方不符合规律。

  诈骗往往万变不离其宗：窃取隐私，利用恐惧、贪欲、情绪价值编故事，冒充熟人或包装自己获取信任，图穷匕见以钱为最终目的。

  牢记这点，然后提高戒心，不点陌生链接，不随便给验证码，尽量不在互联网过度暴露人脸、声音、指纹等个人生物信息，接到可疑电话，谈到钱就多个心眼，多种方式验证对方身份，比如询问只有彼此知道的事情。

  提高防诈意识还不够，韩国「N 号房 2.0」事件，展现了 Deepfake 的另一种作恶形式。人在家中坐，锅从天上来。

  虚假裸照的受害者，可能遇上「复仇色情」——加害者以传播 Deepfake 材料为威胁，勒索和骚扰受害人，造成更严重的二次伤害。

  但这把镰刀也可能举到我们头上：想象一下，诈骗团伙不知道从哪里拿到你的照片，合成到低俗视频，发短信威胁你，不转账，就全网曝光，你该如何自证？

  陈鹏所在的瑞莱智慧，确实遇到过这类个人业务，对方说被视频换脸，能不能还他个清白。

  先说主动式防御，当我们在社会化媒体发了照片，不希望照片被别人利用，那就能在其中嵌入一些视觉上不可感知的噪声。

  如果别人拿我们的照片训练模型，因为这种隐形的干扰，AI 没法很好地提取其中的视觉表征，最终出来的结果可能扭曲或者变糊，这叫作「对抗样本攻击」。

  「半脆弱性水印」，是另一种主动式防御的方式。添加水印之后，如果别人编辑了我们的照片，这个水印会被破坏，我们就不难得知，这个图片被处理过了，不太可信。

  水印不能直接阻止图片被 Deepfake，但可以检测和认证图片的真实性。

  当然，主动式防御的门槛较高，我们应该防患于未然，提前对图片进行一些处理。

  更常见的情况是，我们没法未卜先知，收到自己的「裸照」，却也是第一次和自己这样「坦诚相见」。这时候，就要用上被动式检测。

  瑞莱智慧旗下有一系列负责鉴伪的 AI 产品，包括生成式 AI 内容检验测试平台 DeepReal、人脸 AI 安全防火墙 RealGuard 等等。

  简单来说，用 AI 鉴别 AI，分为两个环节，先提取大量的伪造特征，再基于这些样本建模，让 AI 学习鉴伪的规律。

  颜色的扭曲、纹理的不合理、表情的不自然、音画的不同步、虹膜形状的不规则、两个瞳孔高光的不一致，都是 AI 的学习素材。

  其中，视频的鉴伪，可能比图像的准确率更高，因为视频由一系列连续的图像组成，相比单独的图像，提供了更多能够适用于鉴伪的信息，比如人物在不同帧之间的动作连续性。

  本质上，AI 鉴伪有些像人类用肉眼找茬，也是在利用 AI 模型本身的瑕疵。

  但瑕疵肯定会逐渐改善，所以产生了一个很关键的问题：是先有伪造，后有鉴伪吗？如果如此，鉴伪不是永远落后伪造半拍吗？

  陈鹏回答，生成的技术，可能略微领先鉴伪的技术，但他们内部有红蓝对抗的攻防实验室，一边模拟 Deepfake，一边防御 Deepfake，逐步的提升 Deepfake 的检测能力。

  如果有什么新的 Deepfake 技术面世，他们能够很快复现，然后在检测产品上做验证，「新的技术出来，即使我没见过，我还是能够某些特定的程度上检测出来」。

  而且，模型本身也有一定的泛化能力，见过的 Deepfake 内容多了，碰上没见过的，某些特定的程度上也可以准确识别和检测。

  反 Deepfake 对抗性太强了，需要长期投入，不像很多 AI 产品，做完就不用管了。

  尽管如此，他仍然比较乐观：「用法律和法规监管，平台做内容治理，产业界提供技术和工具，媒体让更多人意识到风险，多方面治理到某些特定的程度，肯定会有缓和。」

  技术没法完全检测出所有的恶意，但人类也不必过于焦虑，Deepfake 的得逞只是最后的结果，防范 Deepfake 却可以每时每刻开始。

  我们是更大的系统里的部分，让受伤的人发声，让加害的人被罚，让阻止恶行的技术介入，让社会的观念抬高一寸，我们才可以共同走向一个技术不被恐惧而是被合理使用的未来。