“换脸”“伪装”不恐慌 识别准确率超过99% RealAI助力AI安全

图 | ZAO APP（来源：网络）

近日，换脸APP“ZAO”从一夜爆火到被工信部约谈，再次折射出业界与公众在AI技术安全与伦理方面认知的巨大鸿沟，以及政府在AI技术治理方面的意识与决心。

虽然“ZAO”随后修改了此前争议巨大的用户协议，但仍被大量注销卸载，目前APP综合评分已跌至1.9分，评论内容多为对隐私泄露及安全风险的不满。有技术咖直指，这是开发方对于技术应用的伦理规范缺少敬畏，为了流量不惜牺牲用户的知情权，甚至试图将相应责任甩锅给用户的恶劣行径导致的反噬，也足以让更多技术开发者引以为戒。

图 | 通过 DeepFake 技术，盖尔·加朵的脸被加在了成人女星身上（来源：reddit）

当然，从技术层面来说，“ZAO”并不是AI“换脸”的首次应用。早在2017年12月，Reddit论坛的网友deepfake运用AI技术将“小电影”女主角的脸替换成明星盖尔·加朵（神奇女侠的主演）。此后，随着该项技术开源，应用越发广泛，前段时间一键脱衣的DeepNude更是引起了广泛关注和担忧。而在政治方面，Twitter上“奥巴马吐槽特朗普是笨蛋”的假视频引起了一系列的跟风。美国众议院6月就Deepfake技术举行了听证会，讨论了AI技术操纵舆论的潜力，如利用假视频削弱政府机构和新闻媒体的公信力，甚至会对2020年大选产生灾难性影响。此外，最近还发生了诈骗团伙利用AI合成语音技术从英国一家公司骗走22万欧元的案例。

“耳闻之不如目见之，目见之不如足践之。”随着AI技术“换脸换声“变得越发容易且可“足践之”后，我们的“耳闻”和“目见”都变得“假作真时真亦假”。技术的发展又一次呼唤伦理与安全的规范。

事实上，早在2015年，AI安全的概念就已经被学界提出。随着人工智能应用的爆发，利用AI技术漏洞进行“逃逸攻击”、“对抗样本攻击”和“数据污染攻击”的案例逐渐增多。随着AI技术的发展，随之产生的安全风险也在不断积累。尤其是人脸识别，作为AI技术应用最为广泛的场景之一，正面临着愈发严峻的挑战。人脸信息作为个人重要且敏感的信息，已经绑定了大多数人的手机解锁、支付，甚至政府类业务的一些身份验证。如发生人脸信息泄露或伪装，将对应用人脸识别技术的金融支付、公共安全等场景造成巨大威胁。

孵化自清华大学人工智能研究院的RealAI

作为最早在“AI安全”领域开展研究的团队之一，RealAI（瑞莱智慧）孵化自清华大学人工智能研究院，致力于研究和推广安全、可靠、可信的第三代人工智能，核心团队成员在清华大学就已经开展了相关的研究。

RealAI CEO田天表示，近来发生的一些新闻事件，让AI安全议题从学术圈走向了社会。目前已经有越来越多的机构开始进行相关的研究，未来AI安全会形成更大的影响力，社会各界都将意识到AI技术导致的安全问题，及其可能引发的深远后果。

据了解，RealAI在AI安全领域的布局主要在两个方面：一是防止AI算法被用于危害社会的行为，例如换脸假视频。二是检测AI算法的漏洞并加以修复，例如防止人脸识别被恶意攻破。RealAI认为，通过修复这些AI技术应用潜在的风险，可以让AI产业更加健康地发展。

“AI安全是一个持续攻防的过程，必然会呈现攻防互相促进发展的状态。有新的攻击手段出来，对应的就会有新的防御方式。首先要掌握攻击方式，才能知道如何去防御，防御的一方需要适应动态变化的攻击场景。”

对于“AI换脸”，RealAI有很强的生成技术，比如“无中生有”的AI换脸等；同时，也知道如何去检测、防御它们。从效果上来看，目前RealAI在内部测试集上换脸检测的准确率已经达到99%以上，这个测试集覆盖了市面上大多数应用换脸技术的假视频。团队现在也针对未来可能潜在的攻防场景做预演，为应对潜在的风险提前设计可行方案。

图 | 换脸检测（来源：RealAI）

在AI算法漏洞检测方面，如针对AI识别系统的“隐身”、“伪装”等场景，RealAI则更注重在真实的物理世界（不同的光线、角度、距离、运动模糊、失焦等）实现，以及更加深入地研究如何利用白盒的替代模型来攻击黑盒的受害模型。RealAI是作为首个利用对抗样本攻击技术，在现实世界中破解商用手机人脸识别系统的公司（，其他研究机构多停留在数字世界或公共Face ID系统层面），。RealAI也能够提供相应的“防火墙”，目前其检测“人脸伪装”的算法准确率同样已经达到99%以上。

图 | 破解人脸识别（来源：RealAI）

据了解，“隐身”、“伪装”等攻击手段的实现原理是“对抗样本攻击”方法。“对抗样本攻击”的防御方法主要有图像预处理和去噪、检测对抗样本、对抗性训练等。在这个领域，且国内高校（尤其是清华人工智能研究院）很早就开展相关的技术研究，目前基本是处于领先地位。作为最早研究该技术的团队之一，RealAI针对对抗样本，使用了一些更新、更合适的方法来弥补传统的算法漏洞。

今年5月，RealAI与清华大学人工智能研究院联合发布了的人工智能安全平台——RealSafe对抗攻防平台，其支持对多种算法和模型进行对抗攻击和防御。RealSafe平台同时可以提供全面、细致的攻击防御算法的评测与比较，输出安全评测报告。

田天认为，“RealSafe平台可以作为从技术的角度提出的测试平台，它通过输出指标来说明AI算法的安全系数。通过这个平台，希望可以推动AI安全往前走一步，比如给政府部门提供参考，为政府部门制定衡量AI安全技术指标提供技术基础”。

值得一提的是，与Google、IBM旗下的安全平台相较，RealSafe平台功能更加全面，支持更为通用的模型、更丰富的对抗攻击和防御算法，具有突出的领先优势。此外，RealAI也在和部分相关企业合作定制化一些提升AI安全性的产品，比如检测虚假内容检测工具。未来终端涉及到的场景将会有各种刷脸认证场景，如火车站、机场人脸识别闸机，手机、商店刷脸支付；公共场所动态监控、安防布控等。

今年以来，多项重磅信息安全政策落地，包括等保2.0、史上最严的数据安全监管办法等。公众对于AI安全的舆论也亟待产品应用去改善。RealAI认为，AI安全是个很大的领域，不是某一个研究者或研究单位就能够将AI安全的所有问题都解决，未来需要更多人参与进来，共同推动AI安全技术的进步。但这需要大家在同一框架下去讨论、落地。因此，由政府引导，权威组织机构制定AI安全方面的行业标准势在必行。