本文經(jīng)AI新媒體量子位（公眾號(hào)ID:QbitAI）授權(quán)轉(zhuǎn)載，轉(zhuǎn)載請(qǐng)聯(lián)系出處。

AI詐騙現(xiàn)在有多兇猛？

這兩天，一條#AI詐騙成功率接近100%#的詞條直沖微博熱搜。

點(diǎn)進(jìn)去一看，原來(lái)是福建一家科技公司的法人代表在10分鐘內(nèi)就被騙走了430萬(wàn)元……

怎么騙的？

“好友”通過(guò)微信視頻聯(lián)系到他，說(shuō)自己的朋友在外地競(jìng)標(biāo)，需要430萬(wàn)保證金，且需要公對(duì)公賬戶(hù)過(guò)賬，就想要借他公司的賬戶(hù)走一下。

基于視頻聊天信任的前提下，他在收到轉(zhuǎn)賬截圖后沒(méi)有核實(shí)錢(qián)款到賬就立馬“轉(zhuǎn)回去”430萬(wàn)元。

轉(zhuǎn)完之后，他主動(dòng)給好友發(fā)微信告知卻收到了一個(gè)問(wèn)號(hào)，這才恍然大悟：

中了AI的高端大計(jì)，一點(diǎn)都沒(méi)看出來(lái)“朋友”的臉和聲音都是假的。

無(wú)獨(dú)有偶，就在不久之前，國(guó)外也發(fā)生了一起和AI相關(guān)的詐騙：

有團(tuán)伙以“YouTube團(tuán)隊(duì)”之名向一些YouTube博主們發(fā)送了一封電子郵件，文中給了一個(gè)谷歌云盤(pán)鏈接，要大家下載PDF獲悉平臺(tái)一項(xiàng)新政策的細(xì)則（跟大伙兒都比較相關(guān)）。

一般看到這兒，警惕心強(qiáng)的人可能還不為所動(dòng)。

但郵件中卻附有堂堂谷歌CEO皮查伊“親自現(xiàn)身”說(shuō)明的視頻，這立馬就打消了不少人最后的提防之心。

他們迅速點(diǎn)擊鼠標(biāo)下好了文件，卻全然不知，這個(gè)文件表面看起來(lái)是一個(gè)PDF，打開(kāi)之后確實(shí)也是講的新規(guī)則細(xì)節(jié)，實(shí)際卻是一個(gè)高度偽裝的病毒，可以直接獲取瀏覽器的cookie信息、保存的密碼等，非常危險(xiǎn)。

可以看到，在這兩起事件之中，深度偽造技術(shù)deepfake都在其中起到了非常關(guān)鍵的作用。

提起這項(xiàng)已誕生了6年之久的換臉大法，不少人可能都對(duì)它有些“見(jiàn)怪不怪”了。

但如上所見(jiàn)，相關(guān)詐騙案件或大或小，并沒(méi)有削弱之勢(shì)。

相反，如今隨著AIGC技術(shù)的大爆發(fā)，普通人接觸到各種先進(jìn)生成工具變得不費(fèi)吹灰之力，制作出越發(fā)難以識(shí)別的高質(zhì)量deepfake視頻也越來(lái)越容易，我們想要一眼識(shí)破出來(lái)這些造假內(nèi)容就更加困難。

人臉識(shí)別在金融行業(yè)應(yīng)用非常普遍，金融行業(yè)也因此最為重視防深偽攻擊。

而且隨著大模型驅(qū)動(dòng)的AI新技術(shù)躍遷，這種潛在的威脅和危害越來(lái)越顯著。

但實(shí)際上，應(yīng)對(duì)deepfake其實(shí)早已有比較成熟的技術(shù)方法和方案。

源自百度的金融科技公司度小滿在deepfake應(yīng)對(duì)方法已經(jīng)積累了豐富的經(jīng)驗(yàn)。

今天，我們或許可以再次重溫與盤(pán)點(diǎn)它們的破解之道，來(lái)給未來(lái)的防深偽工作指明方向。

金融領(lǐng)域防深偽，人臉是第一步

如度小滿數(shù)據(jù)智能部總經(jīng)理、度小滿技術(shù)委員會(huì)執(zhí)行主席楊青所說(shuō)：

金融領(lǐng)域的AI防深偽，應(yīng)該針對(duì)整個(gè)閉環(huán)、每個(gè)節(jié)點(diǎn)的安全性進(jìn)行鞏固和創(chuàng)新。

但第一步就是從deepfake這種技術(shù)的單點(diǎn)突破開(kāi)始。

在金融行業(yè)，由deepfake產(chǎn)生的主要欺詐行為就是身份欺詐，也就是通過(guò)深度偽造的虛假圖像和視頻，來(lái)冒充他人身份，騙過(guò)金融信貸流程中的身份核驗(yàn)系統(tǒng)（包括活體檢測(cè)）。

不法分子的欺詐方法其實(shí)也很簡(jiǎn)單，就是先通過(guò)劫持root或者緩存文件注入等形式劫持你手機(jī)的攝像頭，不讓它進(jìn)行真實(shí)采集。

然后上傳提前準(zhǔn)備好的虛假證件信息（或經(jīng)過(guò)篡改處理，或直接從黑產(chǎn)處購(gòu)買(mǎi)）和通過(guò)深偽技術(shù)/AIGC技術(shù)生成的人臉樣本了。

如果系統(tǒng)恰好沒(méi)有檢測(cè)出來(lái)，盜刷和惡意注冊(cè)就可能隨之而來(lái)，給金融機(jī)構(gòu)和用戶(hù)造成不易挽回的經(jīng)濟(jì)損失。

度小滿介紹，近些年，隨著deepfake技術(shù)的不斷成熟，以及圖像視頻生成技術(shù)的流行，這種利用深偽技術(shù)繞過(guò)人臉識(shí)別流程的趨勢(shì)有所增長(zhǎng)，對(duì)金融機(jī)構(gòu)一直以來(lái)使用的實(shí)名認(rèn)證系統(tǒng)造成了一定的威脅。

數(shù)據(jù)顯示，國(guó)內(nèi)主要金融機(jī)構(gòu)及互聯(lián)網(wǎng)公司應(yīng)用的人臉驗(yàn)證流程，70%以上存在被繞過(guò)的風(fēng)險(xiǎn)。

在全球范圍內(nèi)，也有快接近一半（46%）的企業(yè)遭受過(guò)合成身份的欺詐，有高達(dá)90%的受訪企業(yè)認(rèn)為這種行為已日益嚴(yán)重。

在應(yīng)對(duì)方式上，除了直接切斷不法分子對(duì)手機(jī)系統(tǒng)權(quán)限進(jìn)行篡改的能力，就是去識(shí)別認(rèn)證內(nèi)容是否造假。

對(duì)于后者來(lái)說(shuō)，傳統(tǒng)的人工審核靠一些辨認(rèn)技巧可以識(shí)別出部分deepfake內(nèi)容，比如看面部輪廓流暢度、唇形一致性等。

但隨著deepfake技術(shù)替換本領(lǐng)越來(lái)越高超，再怎么訓(xùn)練有素的眼睛也難以識(shí)別出其中破綻。

就比如下面這組，你能一眼看出來(lái)哪個(gè)是真嗎？

再者，人工審核方式的效率也很低，人工費(fèi)更是高昂。

所謂“解鈴還須系鈴人”，最好的辦法還是交給AI去辦。

事實(shí)上，在deepfake技術(shù)出來(lái)不久之后，各種“反deepfake”檢測(cè)算法就陸續(xù)被技術(shù)大佬們研發(fā)出來(lái)了，貫徹的就是“你在前面飛，我在后面追”的思想。

大家能夠感受到，在各種金融App中實(shí)際的身份驗(yàn)證環(huán)節(jié)中，我們只用幾秒鐘的時(shí)間就能完成刷臉、活體檢測(cè)、登錄等一系列操作，檢測(cè)過(guò)程完全無(wú)感。

這是因?yàn)榉郎顐文Ｐ徒?jīng)過(guò)了海量的樣本比對(duì)學(xué)習(xí)，“閱盡千帆”，哪怕只是細(xì)微到一個(gè)像素級(jí)的破綻也能迅速被它抓到。

除了實(shí)時(shí)識(shí)別和超高準(zhǔn)確度，這種方法的價(jià)值相比人工審核，還體現(xiàn)在能夠非常方便地進(jìn)行持續(xù)優(yōu)化上。

那么，下面就以度小滿為例，來(lái)看看防深偽檢測(cè)模型具體是如何識(shí)別的。

三大細(xì)節(jié)入手，破解造假視頻

度小滿防深偽攻擊的算法策略主要從三個(gè)方面的破綻入手。

首先是生成瑕疵。

具體而言，由于相關(guān)訓(xùn)練數(shù)據(jù)的缺失，deepfake模型可能缺乏一些生理常識(shí)，導(dǎo)致無(wú)法正確渲染部分人類(lèi)面部特征。

問(wèn)題小到眨眼頻率不正常、瞳孔形狀不規(guī)則、牙齒有缺陷，大到口型與聲音不吻合，肢體動(dòng)作與演講內(nèi)容不協(xié)調(diào)……

在檢測(cè)模型中，我們將這些“基本肉眼可見(jiàn)”的特征都提取出來(lái)，設(shè)計(jì)特定的分析算子，就可以進(jìn)行分析研判。

其次是固有屬性。這指的是生成工具、攝像頭光感元件固有的噪聲指紋。

不同攝像機(jī)擁有不同的設(shè)備指紋就不多說(shuō)了，像GAN這種模型在生成人臉時(shí)也會(huì)留下獨(dú)特的用于識(shí)別生成器的指紋，所以我們經(jīng)過(guò)對(duì)比就能發(fā)現(xiàn)端倪。

不過(guò)需要注意，實(shí)際情況中，一些deepfake視頻可能被壓縮導(dǎo)致圖像被強(qiáng)降噪，所以像該網(wǎng)絡(luò)對(duì)固有屬性的微觀紋理分析就不管用了。

沒(méi)關(guān)系，我們還可以追究第三個(gè)細(xì)節(jié)：高層語(yǔ)義。

它指的是檢測(cè)面部動(dòng)作單元（肌肉群）協(xié)調(diào)性、面部各區(qū)域朝向一致性、視頻微觀連續(xù)性（如下圖右產(chǎn)生的細(xì)微抖動(dòng)）等方面的問(wèn)題，由于這些細(xì)節(jié)建模困難、難以復(fù)制，很容易抓到把柄。

毫無(wú)疑問(wèn)，由于單一特征難以適應(yīng)復(fù)雜的deepfake內(nèi)容，因此檢測(cè)模型的整體框架采用的是多特征融合，以此來(lái)保證決策的魯棒性。

一般來(lái)說(shuō)，行業(yè)各家公司在破解deepfake視頻上采取的思路和以上所講差別不大，但度小滿還是在數(shù)據(jù)樣本優(yōu)勢(shì)之外，融入了自己的獨(dú)創(chuàng)點(diǎn)，包括：

神經(jīng)網(wǎng)絡(luò)搜索調(diào)優(yōu)算法、微表情分析和圖卷積（GCN）技術(shù)以及基于重建的自監(jiān)督預(yù)訓(xùn)練方法，讓模型實(shí)現(xiàn)了從“鑒偽”到“鑒真”的轉(zhuǎn)變。

也正因此，去年9月，度小滿防深偽檢測(cè)模型順利通過(guò)了信通院人臉識(shí)別安全專(zhuān)項(xiàng)評(píng)測(cè)，獲得活體檢測(cè)安全防護(hù)能力優(yōu)秀級(jí)認(rèn)證。

具體效果上，它可以做到覆蓋各種深偽形式，包含靜態(tài)人像圖片活化、AI換臉、人臉虛假合成等，達(dá)到千分之一誤報(bào)率下召回90%以上，也就是99%+的準(zhǔn)確率。

像咱們開(kāi)頭所提的谷歌CEO皮查伊偽造視頻，之前微博上紅極一時(shí)的“馬一龍”，度小滿都能輕松識(shí)破：

值得注意的是，楊青表示，在模型的實(shí)際測(cè)試中，其實(shí)還是遇到一些出其不意的攻擊手段，比如經(jīng)過(guò)對(duì)抗攻擊干擾的高糊視頻、3D頭模等。

對(duì)此，度小滿的總體解決策略是具體問(wèn)題具體分析，即：

每遇到一個(gè)新的case，就專(zhuān)門(mén)構(gòu)去建一個(gè)單獨(dú)的網(wǎng)絡(luò)結(jié)構(gòu)算法來(lái)解決，如果發(fā)現(xiàn)對(duì)應(yīng)情況增多后，就合并到通用的主體網(wǎng)絡(luò)結(jié)構(gòu)中。

由此恰到好處地解決了各種問(wèn)題。

AIGC技術(shù)爆發(fā)帶來(lái)的新挑戰(zhàn)

我們觀察到，就在最近幾個(gè)月，網(wǎng)上又涌現(xiàn)出了一大批號(hào)稱(chēng)免費(fèi)、甚至能在一秒、三次點(diǎn)擊以?xún)?nèi)就實(shí)現(xiàn)任意換臉的新deepfake工具，不限于圖片、視頻甚至是直播場(chǎng)景，效果也實(shí)在令人稱(chēng)贊。

這也意味著，普通人乃至不法分子接觸到這種技術(shù)的方式越來(lái)越簡(jiǎn)單了。

隨著諸如此類(lèi)“亦正亦邪”的更多工具上線，可以想象，金融乃至其他行業(yè)以后要應(yīng)對(duì)的偽造攻擊，將會(huì)有多么多種多樣。

值得注意的是，這類(lèi)新造假內(nèi)容其實(shí)給防深偽技術(shù)也帶來(lái)了全新的挑戰(zhàn)。

因?yàn)樗鼈兂钟械氖且恍┩耆煌男绿卣?，目前已完備的“打假”方法其?shí)是有些力不從心。

那么，我們應(yīng)該怎么辦？

對(duì)此，度小滿從細(xì)處著手，給出了一些自己的觀點(diǎn)：

未來(lái)更多的鑒偽技術(shù)應(yīng)該集中去挖掘語(yǔ)義特征、跨模態(tài)特征等，讓模型利用可解釋性強(qiáng)的高層語(yǔ)義去鑒偽。

應(yīng)對(duì)AIGC技術(shù)沖擊下的深偽造假問(wèn)題，你還有什么好想法？