最近在韩国发生的“N号房2.0”事件,再次把 Deepfake(深度伪造)这个老生常谈的话题带到了台前。
加害人们聚集在 Telegram,用 AI将女性照片合成为裸照,昭示着,Deepfake的包围圈,早已从娱乐明星、政治人物,扩张到你我这样的普通人。
在这个 AI成为显学的时代,我们想要了解,看似并不新鲜的、但近年越发普及的技术,如何影响了日常生活。
Deepfake进化到什么程度了,会造成什么危害?如何用技术反 Deepfake?普通人怎么防范 Deepfake?
我们和瑞莱智慧算法科学家陈鹏博士聊了聊这些问题。瑞莱智慧成立于2018年,由清华大学人工智能研究院孵化,深耕 AI鉴伪多年。
陈鹏告诉我们,普通人在鉴别 Deepfake上已经一败涂地,反 Deepfake还得看 AI。
一张图,几秒钟,Deepfake越来越简单
Deepfake最早兴起于2017年的“美版贴吧”Reddit,主要形式是将明星的脸替换到色情视频的主角身上,或者恶搞政界人物。
如今,造谣、搞黄色,仍然是 Deepfake的主流用途,只是变得更加容易。
陈鹏解释,采集一张照片也足够换脸,当然,采集的数据越多,痣、五官等人脸的细节也会被更好地建模,换脸的效果就越逼真。
今年4月,两位德国艺术家的行为艺术项目,就是一个活生生的例子。
他们设计了一个 AI相机 NUCA,相机本体3D打印,内置37毫米广角镜头,拍下的照片会被传输到云端,由 AI“脱去衣服”,10秒钟不到即可“出片”。
NUCA其实不知道你的裸体是什么样,只是通过分析你的性别、面部、年龄、体型等,呈现 AI眼里你的裸体。
粗劣吗?或许不重要,几秒之间,你已经在 AI面前暴露无遗,别人说不定也会相信这是你。
韩国“N号房2.0”也被曝光出类似的细节:一个22.7万人的 Telegram聊天室,内置一个将女性照片合成为裸照、并能调整胸部的机器人,5到7秒生成 Deepfake内容。
换脸、脱衣,只是 Deepfake的一种应用。
通过生成式 AI模型(GAN、VAE、扩散模型等),合成或伪造逼真的内容,包括文字、图像、音频、视频,都可以称为 Deepfake。
其中,音频的 Deepfake也相当常见。
2023年初,科技记者 Joseph Cox拨打银行的自动服务热线,播放自己用 ElevenLabs克隆的 AI语音“我的声音就是我的密码”,要求检查余额,没想到语音验证成功了。
陈鹏表示这不奇怪,之前捕捉我们的声纹信息,需要几分钟、几十分钟的语音,但现在可能半分钟、几十秒,就能捕捉个大概。多接几个骚扰电话,我们的声音或许就泄漏了。
当然,想要更精准地克隆,复制音调等说话风格,比如让郭德纲说英文相声、让霉霉讲中文,仍然需要更多的语料。
甚至,文本也是一个被 Deepfake的领域。AI生成的文本早已到处可见,被学生拿来作弊和应付作业让老师头疼,但我们或许还没有意识到这背后的风险。
虚假消息和谣言,是文字 Deepfake的重灾区,陈鹏说,以前还需要人类自己写文案,但现在针对某个事件,AI可以生成各种言论,然后自动化地投放到社交媒体。
Deepfake更快速、更简单,在陈鹏看来,主要有三个原因。
一是,文生图、文生视频等生成式 AI技术有了突破,二是,算力越发普及,消费级的显卡已经能够运行生成式 AI模型。
还有很重要的一点,Deepfake这项技术,被优化成了各种门槛更低的工具。
拿换脸举例,Deepfake的开源项目不少,比如 Github的 DeepFaceLive和 Deep-Live-Cam,用户可以从网站下载代码,在本地配置运行环境。
▲AI马斯克直播,用的是 Deep-Live-Cam
如果不懂技术的小白还是觉得有难度,也有专业人士直接把饭喂到嘴边,对模型进行封装,编写成简单好用的软件供玩家免费下载,自己赚点广告费,包括很多一键脱衣的 app。
至于音频的 Deepfake,也已经有成熟的商业公司,以 SDK(开发工具包)或者 API(应用编程接口)的方式,让用户轻松使用服务。
用户甚至不需要一台带有显卡的设备部署程序,而是将音频等内容上传到网站,等待生成结果,然后下载。
所以,复杂的技术原理隐藏幕后,在用户面前的是一个个“开箱即用”的界面,连青少年们也能随手制造虚假信息。
一言以蔽之,陈鹏的结论是:
Deepfake已经到了普通人唾手可得的地步了。
肉眼鉴别 Deepfake,人类可能已经一败涂地
当一项技术“飞入寻常百姓家”,最可能被波及的,恰恰也是普通人。
诈骗是 Deepfake最常见的作恶方式之一。
今年年初,一家跨国公司香港分公司因为 AI被骗走了2500万美元。受害人参加了一次视频会议,其他人都是经过“AI换脸”和“AI换声”的诈骗分子。
事已至此,我们可以做些什么保护自己?
如果别人拿 Deepfake来骗你,钻 AI的空子,是其中一种办法,但有保质期。
举个例子,我们在视频通话时,如果怀疑对方是 AI换脸,可以引导对方做些特定的动作,比如把手放在面前快速划动几下、大幅度地转动头部。
如果 AI换脸背后的模型没有对手部遮挡做专门的优化,那么就会露馅,脸可能会出现在手的背部,或者突然发生扭曲。
转动头部的原理也是一样,如果在收集数据的阶段,对方没有特意采集大于45度的转头素材,那么脸部贴合的形迹就会不自然。
但未来,这种肉眼可见的瑕疵,肯定会慢慢减少。
▲美国西北大学的“找茬”测试:AI-generated or Real?
陈鹏开玩笑说,如果诈骗分子觉得你是只待宰的肥羊,存了心要骗你,扒光你的社交媒体信息,花好几天优化你的模型,那么这些方法也不保证有用。
一个视频如果没有出现这些瑕疵的话,那就说明它是真视频?这不是的。
至于说有效没效,那肯定不能完全有效、百分百有效,就是一定程度上有效。
换成专业一些的说法,人类的视觉感知,在语义层次上表现得很好,比如能够轻松分辨出物体或场景的含义,但在处理像素级别的、低层次的细微差别时,感知能力不如 AI模型。
从这个角度看,陈鹏认为,普通人在分辨 Deepfake上已经一败涂地,专家或许还有一战之力,因为看得太多,分析能力比较全面,可以看出某个地方不符合规律。
我们都不是列文虎克,也没有火眼金睛,但人性亘古不变。所以,我们也可以拉起传统的、和技术无关的心理防线——小心驶得万年船。
诈骗往往万变不离其宗:窃取隐私,利用恐惧、贪欲、情绪价值编故事,冒充熟人或包装自己获取信任,图穷匕见以钱为最终目的。
▲瑞莱智慧旗下产品 RealBelieve,会在视频通话时发出预警
牢记这点,然后提高戒心,不点陌生链接,不随便给验证码,尽量不在互联网过度暴露人脸、声音、指纹等个人生物信息,接到可疑电话,谈到钱就多个心眼,多种方式验证对方身份,比如询问只有彼此知道的事情。
古语有云,攻心为上,我们一旦意识到自己有可能被骗,那么就有可能不被骗。
魔法对轰魔法,AI打败 AI
提高防诈意识还不够,韩国“N号房2.0”事件,展现了 Deepfake的另一种作恶形式。人在家中坐,锅从天上来。
虚假裸照的受害者,可能遇上“复仇色情”——加害者以传播 Deepfake材料为威胁,勒索和骚扰受害人,造成更严重的二次伤害。
但这把镰刀也可能举到我们头上:想象一下,诈骗团伙不知道从哪里拿到你的照片,合成到低俗视频,发短信威胁你,不转账,就全网曝光,你该如何自证?
陈鹏所在的瑞莱智慧,确实遇到过这类个人业务,对方说被视频换脸,能不能还他个清白。
方法当然是有的:魔法对轰魔法,AI打败 AI。
陈鹏介绍,AI鉴伪主要有两条技术路线:主动式防御,被动式检测。
先说主动式防御,当我们在社交媒体发了照片,不希望照片被别人利用,那么可以在其中嵌入一些视觉上不可感知的噪声。
如果别人拿我们的照片训练模型,因为这种隐形的干扰,AI没法很好地提取其中的视觉表征,最终出来的结果可能扭曲或者变糊,这叫作“对抗样本攻击”。
“半脆弱性水印”,是另一种主动式防御的方式。添加水印之后,如果别人编辑了我们的照片,这个水印会被破坏,我们就可以知道,这个图片被处理过了,不太可信。
水印不能直接阻止图片被 Deepfake,但可以检测和认证图片的真实性。
当然,主动式防御的门槛较高,我们需要防患于未然,提前对图片进行一些处理。
更常见的情况是,我们没法未卜先知,收到自己的“裸照”,却也是第一次和自己这样“坦诚相见”。这时候,就要用上被动式检测。
瑞莱智慧旗下有一系列负责鉴伪的 AI产品,包括生成式 AI内容检测平台 DeepReal、人脸 AI安全防火墙 RealGuard等等。
简单来说,用 AI鉴别 AI,分为两个环节,先提取大量的伪造特征,再基于这些样本建模,让 AI学习鉴伪的规律。
颜色的扭曲、纹理的不合理、表情的不自然、音画的不同步、虹膜形状的不规则、两个瞳孔高光的不一致,都是 AI的学习素材。
其中,视频的鉴伪,可能比图像的准确率更高,因为视频由一系列连续的图像组成,相比单独的图像,提供了更多可以用于鉴伪的信息,比如人物在不同帧之间的动作连续性。
本质上,AI鉴伪有些像人类用肉眼找茬,也是在利用 AI模型本身的瑕疵。
但瑕疵肯定会逐渐改善,所以产生了一个很关键的问题:是先有伪造,后有鉴伪吗?如果如此,鉴伪不是永远落后伪造半拍吗?
陈鹏回答,生成的技术,可能略微领先鉴伪的技术,但他们内部有红蓝对抗的攻防实验室,一边模拟 Deepfake,一边防御 Deepfake,不断提高 Deepfake的检测能力。
如果有什么新的 Deepfake技术面世,他们可以很快复现,然后在检测产品上进行验证,“新的技术出来,即使我没有见过,我还是能够一定程度上检测出来”。
而且,模型本身也有一定的泛化能力,见过的 Deepfake内容多了,碰上没见过的,一定程度上也可以准确识别和检测。
▲ B站等平台会对 AI换脸娱乐内容进行标注
总之,AI伪造和鉴伪,是一个长期对抗、互相博弈的“猫鼠游戏”。
这也是为什么,陈鹏一直在研究 AI鉴伪算法:
反 Deepfake对抗性太强了,需要长期投入,不像很多 AI产品,做完就不用管了。
尽管如此,他仍然比较乐观:“用法律法规监管,平台进行内容治理,产业界提供技术和工具,媒体让更多人意识到风险,多方面治理到一定程度,肯定会有缓和。”
以后上网,我们可能会陷入这样一个有些荒谬的场景:验证码让你证明“我是人”,Deepfake又让你证明“我不是我”。
技术没法完全检测出所有的恶意,但人类也不必过于焦虑,Deepfake的得逞只是最后的结果,防范 Deepfake却可以随时开始。
就像陈鹏所说,即使一个非常简单的 AI产品,也是一个很系统性的工程。
我们是更大的系统里的部分,让受伤的人发声,让加害的人被罚,让阻止恶行的技术介入,让社会的观念抬高一寸,我们才能共同走向一个技术不被恐惧而是被合理使用的未来。