本文經(jīng)AI新媒體量子位（公眾號ID:QbitAI）授權(quán)轉(zhuǎn)載，轉(zhuǎn)載請聯(lián)系出處。

AI詐騙現(xiàn)在有多兇猛？

這兩天，一條#AI詐騙成功率接近100%#的詞條直沖微博熱搜。

點(diǎn)進(jìn)去一看，原來是福建一家科技公司的法人代表在10分鐘內(nèi)就被騙走了430萬元……

怎么騙的？

“好友”通過微信視頻聯(lián)系到他，說自己的朋友在外地競標(biāo)，需要430萬保證金，且需要公對公賬戶過賬，就想要借他公司的賬戶走一下。

基于視頻聊天信任的前提下，他在收到轉(zhuǎn)賬截圖后沒有核實(shí)錢款到賬就立馬“轉(zhuǎn)回去”430萬元。

轉(zhuǎn)完之后，他主動給好友發(fā)微信告知卻收到了一個問號，這才恍然大悟：

中了AI的高端大計，一點(diǎn)都沒看出來“朋友”的臉和聲音都是假的。

無獨(dú)有偶，就在不久之前，國外也發(fā)生了一起和AI相關(guān)的詐騙：

有團(tuán)伙以“YouTube團(tuán)隊(duì)”之名向一些YouTube博主們發(fā)送了一封電子郵件，文中給了一個谷歌云盤鏈接，要大家下載PDF獲悉平臺一項(xiàng)新政策的細(xì)則（跟大伙兒都比較相關(guān)）。

一般看到這兒，警惕心強(qiáng)的人可能還不為所動。

但郵件中卻附有堂堂谷歌CEO皮查伊“親自現(xiàn)身”說明的視頻，這立馬就打消了不少人最后的提防之心。

他們迅速點(diǎn)擊鼠標(biāo)下好了文件，卻全然不知，這個文件表面看起來是一個PDF，打開之后確實(shí)也是講的新規(guī)則細(xì)節(jié)，實(shí)際卻是一個高度偽裝的病毒，可以直接獲取瀏覽器的cookie信息、保存的密碼等，非常危險。

可以看到，在這兩起事件之中，深度偽造技術(shù)deepfake都在其中起到了非常關(guān)鍵的作用。

提起這項(xiàng)已誕生了6年之久的換臉大法，不少人可能都對它有些“見怪不怪”了。

但如上所見，相關(guān)詐騙案件或大或小，并沒有削弱之勢。

相反，如今隨著AIGC技術(shù)的大爆發(fā)，普通人接觸到各種先進(jìn)生成工具變得不費(fèi)吹灰之力，制作出越發(fā)難以識別的高質(zhì)量deepfake視頻也越來越容易，我們想要一眼識破出來這些造假內(nèi)容就更加困難。

人臉識別在金融行業(yè)應(yīng)用非常普遍，金融行業(yè)也因此最為重視防深偽攻擊。

而且隨著大模型驅(qū)動的AI新技術(shù)躍遷，這種潛在的威脅和危害越來越顯著。

但實(shí)際上，應(yīng)對deepfake其實(shí)早已有比較成熟的技術(shù)方法和方案。

源自百度的金融科技公司度小滿在deepfake應(yīng)對方法已經(jīng)積累了豐富的經(jīng)驗(yàn)。

今天，我們或許可以再次重溫與盤點(diǎn)它們的破解之道，來給未來的防深偽工作指明方向。

金融領(lǐng)域防深偽，人臉是第一步

如度小滿數(shù)據(jù)智能部總經(jīng)理、度小滿技術(shù)委員會執(zhí)行主席楊青所說：

金融領(lǐng)域的AI防深偽，應(yīng)該針對整個閉環(huán)、每個節(jié)點(diǎn)的安全性進(jìn)行鞏固和創(chuàng)新。

但第一步就是從deepfake這種技術(shù)的單點(diǎn)突破開始。

在金融行業(yè)，由deepfake產(chǎn)生的主要欺詐行為就是身份欺詐，也就是通過深度偽造的虛假圖像和視頻，來冒充他人身份，騙過金融信貸流程中的身份核驗(yàn)系統(tǒng)（包括活體檢測）。

不法分子的欺詐方法其實(shí)也很簡單，就是先通過劫持root或者緩存文件注入等形式劫持你手機(jī)的攝像頭，不讓它進(jìn)行真實(shí)采集。

然后上傳提前準(zhǔn)備好的虛假證件信息（或經(jīng)過篡改處理，或直接從黑產(chǎn)處購買）和通過深偽技術(shù)/AIGC技術(shù)生成的人臉樣本了。

如果系統(tǒng)恰好沒有檢測出來，盜刷和惡意注冊就可能隨之而來，給金融機(jī)構(gòu)和用戶造成不易挽回的經(jīng)濟(jì)損失。

度小滿介紹，近些年，隨著deepfake技術(shù)的不斷成熟，以及圖像視頻生成技術(shù)的流行，這種利用深偽技術(shù)繞過人臉識別流程的趨勢有所增長，對金融機(jī)構(gòu)一直以來使用的實(shí)名認(rèn)證系統(tǒng)造成了一定的威脅。

數(shù)據(jù)顯示，國內(nèi)主要金融機(jī)構(gòu)及互聯(lián)網(wǎng)公司應(yīng)用的人臉驗(yàn)證流程，70%以上存在被繞過的風(fēng)險。

在全球范圍內(nèi)，也有快接近一半（46%）的企業(yè)遭受過合成身份的欺詐，有高達(dá)90%的受訪企業(yè)認(rèn)為這種行為已日益嚴(yán)重。

在應(yīng)對方式上，除了直接切斷不法分子對手機(jī)系統(tǒng)權(quán)限進(jìn)行篡改的能力，就是去識別認(rèn)證內(nèi)容是否造假。

對于后者來說，傳統(tǒng)的人工審核靠一些辨認(rèn)技巧可以識別出部分deepfake內(nèi)容，比如看面部輪廓流暢度、唇形一致性等。

但隨著deepfake技術(shù)替換本領(lǐng)越來越高超，再怎么訓(xùn)練有素的眼睛也難以識別出其中破綻。

就比如下面這組，你能一眼看出來哪個是真嗎？

再者，人工審核方式的效率也很低，人工費(fèi)更是高昂。

所謂“解鈴還須系鈴人”，最好的辦法還是交給AI去辦。

事實(shí)上，在deepfake技術(shù)出來不久之后，各種“反deepfake”檢測算法就陸續(xù)被技術(shù)大佬們研發(fā)出來了，貫徹的就是“你在前面飛，我在后面追”的思想。

大家能夠感受到，在各種金融App中實(shí)際的身份驗(yàn)證環(huán)節(jié)中，我們只用幾秒鐘的時間就能完成刷臉、活體檢測、登錄等一系列操作，檢測過程完全無感。

這是因?yàn)榉郎顐文Ｐ徒?jīng)過了海量的樣本比對學(xué)習(xí)，“閱盡千帆”，哪怕只是細(xì)微到一個像素級的破綻也能迅速被它抓到。

除了實(shí)時識別和超高準(zhǔn)確度，這種方法的價值相比人工審核，還體現(xiàn)在能夠非常方便地進(jìn)行持續(xù)優(yōu)化上。

那么，下面就以度小滿為例，來看看防深偽檢測模型具體是如何識別的。

三大細(xì)節(jié)入手，破解造假視頻

度小滿防深偽攻擊的算法策略主要從三個方面的破綻入手。

首先是生成瑕疵。

具體而言，由于相關(guān)訓(xùn)練數(shù)據(jù)的缺失，deepfake模型可能缺乏一些生理常識，導(dǎo)致無法正確渲染部分人類面部特征。

問題小到眨眼頻率不正常、瞳孔形狀不規(guī)則、牙齒有缺陷，大到口型與聲音不吻合，肢體動作與演講內(nèi)容不協(xié)調(diào)……

在檢測模型中，我們將這些“基本肉眼可見”的特征都提取出來，設(shè)計特定的分析算子，就可以進(jìn)行分析研判。

其次是固有屬性。這指的是生成工具、攝像頭光感元件固有的噪聲指紋。

不同攝像機(jī)擁有不同的設(shè)備指紋就不多說了，像GAN這種模型在生成人臉時也會留下獨(dú)特的用于識別生成器的指紋，所以我們經(jīng)過對比就能發(fā)現(xiàn)端倪。

不過需要注意，實(shí)際情況中，一些deepfake視頻可能被壓縮導(dǎo)致圖像被強(qiáng)降噪，所以像該網(wǎng)絡(luò)對固有屬性的微觀紋理分析就不管用了。

沒關(guān)系，我們還可以追究第三個細(xì)節(jié)：高層語義。

它指的是檢測面部動作單元（肌肉群）協(xié)調(diào)性、面部各區(qū)域朝向一致性、視頻微觀連續(xù)性（如下圖右產(chǎn)生的細(xì)微抖動）等方面的問題，由于這些細(xì)節(jié)建模困難、難以復(fù)制，很容易抓到把柄。

毫無疑問，由于單一特征難以適應(yīng)復(fù)雜的deepfake內(nèi)容，因此檢測模型的整體框架采用的是多特征融合，以此來保證決策的魯棒性。

一般來說，行業(yè)各家公司在破解deepfake視頻上采取的思路和以上所講差別不大，但度小滿還是在數(shù)據(jù)樣本優(yōu)勢之外，融入了自己的獨(dú)創(chuàng)點(diǎn)，包括：

神經(jīng)網(wǎng)絡(luò)搜索調(diào)優(yōu)算法、微表情分析和圖卷積（GCN）技術(shù)以及基于重建的自監(jiān)督預(yù)訓(xùn)練方法，讓模型實(shí)現(xiàn)了從“鑒偽”到“鑒真”的轉(zhuǎn)變。

也正因此，去年9月，度小滿防深偽檢測模型順利通過了信通院人臉識別安全專項(xiàng)評測，獲得活體檢測安全防護(hù)能力優(yōu)秀級認(rèn)證。

具體效果上，它可以做到覆蓋各種深偽形式，包含靜態(tài)人像圖片活化、AI換臉、人臉虛假合成等，達(dá)到千分之一誤報率下召回90%以上，也就是99%+的準(zhǔn)確率。

像咱們開頭所提的谷歌CEO皮查伊偽造視頻，之前微博上紅極一時的“馬一龍”，度小滿都能輕松識破：

值得注意的是，楊青表示，在模型的實(shí)際測試中，其實(shí)還是遇到一些出其不意的攻擊手段，比如經(jīng)過對抗攻擊干擾的高糊視頻、3D頭模等。

對此，度小滿的總體解決策略是具體問題具體分析，即：

每遇到一個新的case，就專門構(gòu)去建一個單獨(dú)的網(wǎng)絡(luò)結(jié)構(gòu)算法來解決，如果發(fā)現(xiàn)對應(yīng)情況增多后，就合并到通用的主體網(wǎng)絡(luò)結(jié)構(gòu)中。

由此恰到好處地解決了各種問題。

AIGC技術(shù)爆發(fā)帶來的新挑戰(zhàn)

我們觀察到，就在最近幾個月，網(wǎng)上又涌現(xiàn)出了一大批號稱免費(fèi)、甚至能在一秒、三次點(diǎn)擊以內(nèi)就實(shí)現(xiàn)任意換臉的新deepfake工具，不限于圖片、視頻甚至是直播場景，效果也實(shí)在令人稱贊。

這也意味著，普通人乃至不法分子接觸到這種技術(shù)的方式越來越簡單了。

隨著諸如此類“亦正亦邪”的更多工具上線，可以想象，金融乃至其他行業(yè)以后要應(yīng)對的偽造攻擊，將會有多么多種多樣。

值得注意的是，這類新造假內(nèi)容其實(shí)給防深偽技術(shù)也帶來了全新的挑戰(zhàn)。

因?yàn)樗鼈兂钟械氖且恍┩耆煌男绿卣?，目前已完備的“打假”方法其?shí)是有些力不從心。

那么，我們應(yīng)該怎么辦？

對此，度小滿從細(xì)處著手，給出了一些自己的觀點(diǎn)：

未來更多的鑒偽技術(shù)應(yīng)該集中去挖掘語義特征、跨模態(tài)特征等，讓模型利用可解釋性強(qiáng)的高層語義去鑒偽。

應(yīng)對AIGC技術(shù)沖擊下的深偽造假問題，你還有什么好想法？