繼2012年“互聯網+”后，“AI+”成為時代主旋律。然而在隱秘的角落，由AI所引發的安全風險和“黑灰產”問題正與日俱增。尤其是人臉識別——作為AI技術落地最廣泛的場景之一，所面臨的安全、倫理和道德等挑戰愈發嚴峻。

經過近些年的快速發展，人臉識別已和智能硬件解鎖、支付，以及公共服務等身份驗證直接綁定在一起。因面部信息的唯一性，以及作為個人隱私中最敏感、重要的組成部分，一旦出現問題，將會對個人隱私、公共安全造成巨大威脅，故對技術的安全要求和標準相對更高。

以下，我們通過兩個較為典型案例，來說一說AI攻防對人臉識別/人工智能技術和行業發展的作用和意義。

“換臉”技術的攻防戰

2018年，一段“奧巴馬”嗆聲特朗普的視頻在全美瘋傳。事后，這個視頻被證明為偽造，其背后所利用的即是AI“換臉”技術。該技術是基于生成對抗網絡（GANs），通過兩個模型——一個負責生成偽圖，另一個負責鑒別偽圖，對抗博弈的方式不斷進化，從而達到以假亂真的水平。

而在更早的2017年，一位名為deepfakes的網友將***電影中演員的臉替換成好萊塢女星，并將合成視頻在Reddit網站上發布，引發全球熱議，遭到大眾對技術濫用的質疑。

這也為AI“換臉”技術吸引了一波關注，DeepFake（深度偽造或深度合成）就此成為該技術的代名詞，同名算法也在Github上開源，導致合成視頻片段大量涌現。

根據創業公司Deeptrace報告顯示，2019年初，互聯網上流轉的、利用DeepFake技術生成的視頻，共有7964個，僅僅9個月后，這個數字躍升至14678個，而其中就有高達96%的DeepFake視頻與***相關。

DeepFake技術的濫用引發全球擔憂，也為人臉識別技術的應用推廣帶來了巨大風險。據稱，2019年底，硅谷人工智能公司Kneron曾使用DeepFake技術成功欺騙了支付寶和微信支付，并且順利通過機場、火車站等自助終端檢驗。

雖然各國紛紛加強了監管措施，譬如美國政府公布了《禁止惡意深度偽造法案》《2019年深度偽造責任法案》《2019年深度偽造報告法案》，旨在通過限制DeepFake合成技術，打擊虛假信息的傳播。但遏制DeepFake技術濫用的根本手段，還是需要從安全對抗的本質上出發，鑄造更高門檻的防御技術，以AI應對AI，在攻防“互毆”之中不斷增強系統的魯棒性。

為此，科技巨頭們也紛紛加入了這場“安全對抗”的戰役之中。去年9月，谷歌開源了包含3000個AI生成的視頻數據庫，以支持社區加速開發DeepFake檢測工具，對抗技術濫用風險；Facebook也在同年12月發布了一套“反識別”系統，幫助辨別實時影像的真偽。

技術是中立的，也是雙向發展的，不會因為懼怕風險而停滯不前。不久前，英偉達的研究人員提出了一種新的生成器架構，可基于風格遷移，將面部細節分離出來，并由模型進行單獨調整，生成的面部圖像比基于傳統GAN技術更加逼真。

可見，假臉生成和真臉識別的算法對抗將會是持續的、動態的過程。

對抗樣本的“攻防戰”

第二個案例是，在2019年的世界黑帽安全大會上，騰訊的研究人員向與會者展示了如何利用一款纏著黑白膠帶的眼鏡，就能解鎖蘋果FaceID。

如果這款技術還需要“受害人”的被動配合——趁“受害人”睡著，將眼鏡戴在“受害人”臉上，那么最新的AI技術，只需打印一張帶有圖案的紙條貼在腦門上，就能“戳瞎”AI識別系統。

這種黑科技的應用，在學術上被稱為“對抗樣本”。百度百科對它的定義是“在數據集中通過故意添加細微的干擾所形成的輸入樣本，導致模型以高置信度給出一個錯誤的輸出。”

目前大多數機器學習的魯棒性都比較差，容易受對抗樣本的影響。樣本經過輕微修改后，輸出結果可能會謬以千里，而且這些細微的修改人類幾乎無法肉眼識別。

2018年，在GeekPwn國際安全極客大賽中，有選手用對抗樣本攻擊亞馬遜名人識別系統，讓主持人蔣昌建的照片被識別為施瓦辛格。同樣，掌握了對抗樣本（譬如紙條上的圖案），只需在腦門上貼上紙條，就可以“戳瞎”系統，破解身份認證的唯一性。

對抗樣本攻擊凸顯了人臉識別技術的脆弱性，對安全攻防提出了新要求。谷歌于2017年舉辦的對抗樣本攻防賽旨在加快研究對抗樣本，提升機器學習的魯棒性。俗話說，魔高一尺道高一丈，技術引發的系統羸弱，最終也須技術予以修復。

安全攻防表面上是一場算法間的較量，從產業的角度出發，其所體現的是技術濫用（包括造假、欺騙等）的“低成本、高利潤”特征。

在成本方面，首先，開源社區雖然顯著降低了AI應用開發門檻，與此同時也降低了攻擊算法的獲取成本。在換臉“奧巴馬”案例中，DeepFake技術在Github上開源后，非專業用戶也可輕松憑借一張照片生成偽造視頻。譬如，2019年初，就有網友利用開源算法將朱茵版《射雕英雄傳》黃蓉的臉換成楊冪，上傳到B站上，引發網友熱議。

其次，相對快速、花式的算法創新，監管滯后也為技術濫用提供了時間的溫床。還以DeepFake技術為例，該技術早在2017年底出現，法律監管卻整整滯后了兩年。直至2019年初，我國網信辦才開始對DeepFake展開嚴格監管。相比慢兩拍的監管，DeepFake技術則在兩年內飛速進化，并衍生出海量的惡意應用。

相對低門檻的技術獲取，技術濫用所帶來的不菲利潤，是安全風險和黑灰產的“催化劑”。

譬如上文中提到，互聯網合成視頻以***內容為主。據報道稱，很多網店不僅提供成品視頻，還接受私人訂制，只要買家提供20張照片，就可以快速生成定制化視頻，售價約為1分鐘20元到50元不等。在某些QQ群的黑產交易中，利用動態人臉識別攻擊技術，一個支付類賬號破解售價約為10元，這樣的生意一天能做到8000元到10000元的流水，而售賣技術教學，一個人學費大概在4000元左右。

隨著人工智能技術的發展，信息安全受到各國的高度重視。世界各主要國家都在加強網絡和信息安全領域的布局和競爭。Gartner預測，2020年全球信息安全類支出預計將增長2.4%，達到1238億美元。其中，中國安全市場支出將增長7.5%，達到299億人民幣。按照信息安全支出占比來看，中國信息安全支出占比低于全球。

攻防是信息安全的本質。信息的復制成本幾近于零，這也就誕生了網絡經濟，催生了互聯網安全產品市場，造就了360等上規模的網安公司。

AI算法作為信息技術之一，通過信息復制，同樣可以攤薄技術的生產成本。對于愈加復雜的信息網絡，閉門造車、自掃門前雪的方式顯然是不經濟的，引導AI對抗技術的商業化落地，是加強網絡安全的重要途徑之一，也是促進AI技術應用和推廣的安全保障。

對于AI防御方而言——主要為AI研發、應用類企業，及評測、監管機構等，除自磨利刃外，可能更好的選擇是與安全市場合作共贏，以提升系統魯棒性，構筑AI防御護城河。
責任編輯：tzh