作者：杨燕

　　继2012年“互联网+”后，“AI+”成为时代主旋律。然而在隐秘的角落，由AI所引发的安全风险和“黑灰产”问题正与日俱增。尤其是人脸识别——作为AI技术落地最广泛的场景之一，所面临的安全、伦理和道德等挑战愈发严峻。

　　经过近些年的快速发展，人脸识别已和智能硬件解锁、支付，以及公共服务等身份验证直接绑定在一起。因面部信息的唯一性，以及作为个人隐私中最敏感、重要的组成部分，一旦出现问题，将会对个人隐私、公共安全造成巨大威胁，故对技术的安全要求和标准相对更高。

　　以下，我们通过两个较为典型案例，来说一说AI攻防对人脸识别/人工智能技术和行业发展的作用和意义。

　　“换脸”技术的攻防战

　　2018年，一段“奥巴马”呛声特朗普的视频在全美疯传。事后，这个视频被证明为伪造，其背后所利用的即是AI“换脸”技术。该技术是基于生成对抗网络（GANs），通过两个模型——一个负责生成伪图，另一个负责鉴别伪图，对抗博弈的方式不断进化，从而达到以假乱真的水平。

　　而在更早的2017年，一位名为deepfakes的网友将色情电影中演员的脸替换成好莱坞女星，并将合成视频在Reddit网站上发布，引发全球热议，遭到大众对技术滥用的质疑。

　　这也为AI“换脸”技术吸引了一波关注，DeepFake（深度伪造或深度合成）就此成为该技术的代名词，同名算法也在Github上开源，导致合成视频片段大量涌现。

　　根据创业公司Deeptrace报告显示，2019年初，互联网上流转的、利用DeepFake技术生成的视频，共有7964个,仅仅9个月后，这个数字跃升至14678个，而其中就有高达96%的DeepFake视频与色情相关。

　　DeepFake技术的滥用引发全球担忧，也为人脸识别技术的应用推广带来了巨大风险。据称，2019年底，硅谷人工智能公司Kneron曾使用DeepFake技术成功欺骗了支付宝和微信支付，并且顺利通过机场、火车站等自助终端检验。

　　虽然各国纷纷加强了监管措施，譬如美国政府公布了《禁止恶意深度伪造法案》《2019年深度伪造责任法案》《2019年深度伪造报告法案》，旨在通过限制DeepFake合成技术，打击虚假信息的传播。但遏制DeepFake技术滥用的根本手段，还是需要从安全对抗的本质上出发，铸造更高门槛的防御技术，以AI应对AI，在攻防“互殴”之中不断增强系统的鲁棒性。

　　为此，科技巨头们也纷纷加入了这场“安全对抗”的战役之中。去年9月，谷歌开源了包含3000个AI生成的视频数据库，以支持社区加速开发DeepFake检测工具，对抗技术滥用风险；Facebook也在同年12月发布了一套“反识别”系统，帮助辨别实时影像的真伪。

　　技术是中立的，也是双向发展的，不会因为惧怕风险而停滞不前。不久前，英伟达的研究人员提出了一种新的生成器架构，可基于风格迁移，将面部细节分离出来，并由模型进行单独调整，生成的面部图像比基于传统GAN技术更加逼真。

　　可见，假脸生成和真脸识别的算法对抗将会是持续的、动态的过程。

　　对抗样本的“攻防战”

　　第二个案例是，在2019年的世界黑帽安全大会上，腾讯的研究人员向与会者展示了如何利用一款缠着黑白胶带的眼镜，就能解锁苹果FaceID。

　　如果这款技术还需要“受害人”的被动配合——趁“受害人”睡着，将眼镜戴在“受害人”脸上，那么最新的AI技术，只需打印一张带有图案的纸条贴在脑门上，就能“戳瞎”AI识别系统。

　　这种黑科技的应用，在学术上被称为“对抗样本”。百度百科对它的定义是“在数据集中通过故意添加细微的干扰所形成的输入样本，导致模型以高置信度给出一个错误的输出。”

　　目前大多数机器学习的鲁棒性都比较差，容易受对抗样本的影响。样本经过轻微修改后，输出结果可能会谬以千里，而且这些细微的修改人类几乎无法肉眼识别。

　　2018年，在GeekPwn国际安全极客大赛中，有选手用对抗样本攻击亚马逊名人识别系统，让主持人蒋昌建的照片被识别为施瓦辛格。同样，掌握了对抗样本（譬如纸条上的图案），只需在脑门上贴上纸条，就可以“戳瞎”系统，破解身份认证的唯一性。

　　对抗样本攻击凸显了人脸识别技术的脆弱性，对安全攻防提出了新要求。谷歌于2017年举办的对抗样本攻防赛旨在加快研究对抗样本，提升机器学习的鲁棒性。俗话说，魔高一尺道高一丈，技术引发的系统羸弱，最终也须技术予以修复