人工智能發(fā)展到當(dāng)下階段，對(duì)于倫理和安全的思考已經(jīng)逐漸從幕后走向臺(tái)前。

2019年5月22日，經(jīng)濟(jì)合作與發(fā)展組織（OCED）批準(zhǔn)了《負(fù)責(zé)任地管理可信賴AI的原則》，該倫理原則總共有五項(xiàng)，包括包容性增長(zhǎng)、可持續(xù)發(fā)展及福祉，以人為本的價(jià)值觀及公平性，透明度和可解釋性，穩(wěn)健性、安全性和保障性，問責(zé)制。

其中更為顯性的安全問題，在“換臉”風(fēng)波、人臉信息泄漏等一系列事件的曝光下，為人工智能技術(shù)的應(yīng)用前景蒙上了一層陰影，提高人工智能技術(shù)的安全性與可靠性迫在眉睫。

Deepfake的世界里，眼見不再為實(shí)

Deepfake將人工智能話題推上了輿論的風(fēng)口。

圖：演員Jordan Peele模仿奧巴馬聲音制作的虛假演講視頻利用Deepfake造假技術(shù)，艾瑪·沃森等一眾歐美女明星被“換臉”在了不可描述的小電影上，混跡政壇的大佬虛假演講“互相攻訐”，一時(shí)轟動(dòng)全網(wǎng)。作為國(guó)內(nèi)首家致力于推廣安全、可靠、可解釋第三代人工智能的研究團(tuán)隊(duì)，RealAI表示，目前AI換臉的技術(shù)難度正大幅降低，團(tuán)隊(duì)成功將近期人氣火熱的雷佳音換臉成著名相聲演員郭德綱，整個(gè)過程僅花費(fèi)數(shù)小時(shí)。

圖：雷佳音（左）換臉郭德綱（右）現(xiàn)今，基于人臉的信息傳遞已經(jīng)成為人類社會(huì)溝通的主要媒介之一，比如社交平臺(tái)的照片、網(wǎng)絡(luò)上的演講和表演視頻。換臉技術(shù)的出現(xiàn)則極大地影響公眾對(duì)圖片和視頻的解讀，比如誰該為這段言論負(fù)責(zé)，以及這段言論的可信度有多大，甚至可能淪為色情復(fù)仇的工具、擾亂政界的武器，導(dǎo)致前所未有的社會(huì)影響。目前Deepfake主要以公眾人物為受害目標(biāo)，但隨著AI技術(shù)的飛速發(fā)展，可能在不遠(yuǎn)的將來，普通民眾也會(huì)被波及。為了保證AI應(yīng)用的安全性，目前RealAI團(tuán)隊(duì)研發(fā)出“反AI變臉檢測(cè)”工具，專用于檢測(cè)AI換臉造假技術(shù)。

圖：RealAI“反AI變臉檢測(cè)”技術(shù) ，綠框?yàn)檎Ｒ曨l幀，紅框?yàn)闄z測(cè)出的造假視頻幀RealAI研究人員表示，Deepfake生成的造假視頻畫面會(huì)有不“自然”的紋理存在。為此，他們通過海量視頻訓(xùn)練神經(jīng)網(wǎng)絡(luò)，讓其學(xué)習(xí)正常情況中的紋理特征，再以此檢測(cè)造假視頻中不一致的紋理。利用該技術(shù)，可以對(duì)造假視頻實(shí)現(xiàn)逐幀檢測(cè)，準(zhǔn)確率高達(dá)90%以上。據(jù)媒體報(bào)道，目前已經(jīng)出現(xiàn)犯罪團(tuán)伙利用AI換臉進(jìn)行詐騙，希望“反AI變臉檢測(cè)”技術(shù)可以遏制此類惡性事件的發(fā)生，不要讓病態(tài)化的“換臉”趨勢(shì)愈演愈烈。

“隱身衣”成為可能，犯罪行為“有處遁形”

如果說，“換臉”是技術(shù)濫用引發(fā)的社會(huì)安全威脅，那還有另一個(gè)不容忽視的問題：AI算法本身也不夠安全。比如，深度神經(jīng)網(wǎng)絡(luò)（CNN）存在的大量的安全盲點(diǎn)，可以被特定構(gòu)造的輸入樣本欺騙。在原始圖片上增加人眼看上去無關(guān)緊要的噪聲，可以惡意地誤導(dǎo)AI系統(tǒng)輸出非預(yù)期的結(jié)果。

圖：一張貼紙“騙”過AI攝像頭來自比利時(shí)魯汶大學(xué) (KU Leuven) 研究人員曾在身上貼一張打印出來的貼紙，就成功“欺騙”AI，讓檢測(cè)系統(tǒng)無法看到自己，如同穿了哈利波特中的“隱身斗篷”。目前，RealAI團(tuán)隊(duì)也成功開展類似的“隱身”研究，在3D車輛模型的車身上貼上特制的“紙片”，使得模型成功逃逸識(shí)別。從具體效果來看，該“隱身”可在高度運(yùn)動(dòng)、光線變化等復(fù)雜環(huán)境中保持較高的魯棒性，技術(shù)優(yōu)勢(shì)明顯。

圖：3D車輛模型“隱身”試驗(yàn)

圖：遠(yuǎn)距離、近距離、穩(wěn)定、動(dòng)態(tài)拍攝下的“隱身”效果如上圖所示，試驗(yàn)中最右車輛未加噪音處理，最左車輛車身添加了白噪音，中間的車輛車身添加了RealAI基于對(duì)抗樣本特制的噪音圖像。可以看到，無論是遠(yuǎn)距離、近距離，穩(wěn)定拍攝還是運(yùn)動(dòng)拍攝中導(dǎo)致失焦，添加了對(duì)抗樣本噪音的車輛在絕大部分情況下都沒有被識(shí)別出，“隱身”最為成功。

圖：關(guān)燈瞬間以及昏暗光線下的“隱身”效果即便外界光線發(fā)生變化，在關(guān)燈瞬間“隱身”效果依舊穩(wěn)定。值得指出的是，目前國(guó)際上發(fā)布的相關(guān)研究更趨于“靜態(tài)”環(huán)境中的隱身，比如過度的大幅度動(dòng)作可能會(huì)導(dǎo)致“隱身”失效，RealAI團(tuán)隊(duì)的“隱身”試驗(yàn)則可以適應(yīng)高難度的動(dòng)態(tài)環(huán)境，比如高頻抖動(dòng)、角度變換、失焦等，而且隱身效果更為突出。目前目標(biāo)檢測(cè)技術(shù)已經(jīng)大規(guī)模的應(yīng)用到商業(yè)場(chǎng)景中，例如公共場(chǎng)所動(dòng)態(tài)監(jiān)控、安防布控以及自動(dòng)駕駛汽車...... 而上文的“隱身”技術(shù)可能用于現(xiàn)實(shí)的視頻監(jiān)控系統(tǒng)或干擾自動(dòng)駕駛汽車的感知系統(tǒng)。設(shè)想一下，當(dāng)監(jiān)控系統(tǒng)失去監(jiān)管效力、自動(dòng)駕駛汽車失控，將引發(fā)怎樣的后果？警方過度信任AI監(jiān)控導(dǎo)致罪犯輕松利用“隱身”技術(shù)逃脫、自動(dòng)駕駛汽車被路邊的某個(gè)“圖案”誤導(dǎo)而引發(fā)車禍....公眾的人身安全、社會(huì)安全乃至國(guó)家安全都將面臨挑戰(zhàn)，政府、企業(yè)和社會(huì)都應(yīng)該重新評(píng)估AI算法的可靠性。

刷臉時(shí)代，你的“臉”正在出賣你

隨著AI在人臉識(shí)別上越來越精通，人臉解鎖已經(jīng)成為智能手機(jī)的標(biāo)配。但是，我們的臉真的安全嗎？最近，RealAI的AI安全研究團(tuán)隊(duì)利用一副基于“對(duì)抗樣本”生成的“眼鏡”成功破解智能手機(jī)的面部解鎖，是國(guó)際上首個(gè)從算法層面對(duì)商用手機(jī)高復(fù)雜識(shí)別模型實(shí)現(xiàn)黑盒攻擊的團(tuán)隊(duì)。

圖：正常情況下無法解鎖他人手機(jī)

圖：帶上道具瞬間完成解鎖，破解成功圖片中可以看到，“攻擊者”戴上眼鏡識(shí)別的瞬間便可成功解鎖，無需特定的角度和光線，無需暴力嘗試。與照片解鎖、造假視頻、3D建模等傳統(tǒng)方法相比，該方法成本更低、成功率更高。深度神經(jīng)網(wǎng)絡(luò)（CNN）容易受到“對(duì)抗樣本”的攻擊影響。此前就有研究團(tuán)隊(duì)提出，通過帶有干擾的“配飾”來欺騙模型逃逸識(shí)別。但該想法只停留于研究層面，僅在實(shí)驗(yàn)場(chǎng)景中結(jié)構(gòu)較簡(jiǎn)單的模型上進(jìn)行過驗(yàn)證，而且是基于對(duì)模型內(nèi)部參數(shù)已知的情況下實(shí)現(xiàn)的“白盒”攻擊。RealAI研究團(tuán)隊(duì)則將其成功應(yīng)用到物理世界和黑盒場(chǎng)景，對(duì)內(nèi)部參數(shù)未知的情況下，破解商用手機(jī)中復(fù)雜度、精準(zhǔn)度更高的識(shí)別模型。

圖：基于對(duì)抗樣本生成的“眼鏡”道具RealAI進(jìn)行該項(xiàng)研究，目的是為了從算法層面找到當(dāng)前主流人臉識(shí)別模型的安全漏洞，從而針對(duì)性的進(jìn)行防御。目前團(tuán)隊(duì)也已經(jīng)研發(fā)出相應(yīng)的防御技術(shù)，可能很大程度上檢測(cè)并防御當(dāng)前的對(duì)抗樣本攻擊。通過對(duì)手機(jī)識(shí)別系統(tǒng)進(jìn)行防火墻升級(jí)，在解鎖的過程中可以識(shí)別出“攻擊者”，并對(duì)其拒絕訪問。圖：RealAI的AI防火墻技術(shù)可檢測(cè)并防御“對(duì)抗樣本”攻擊在正在到來的“刷臉”時(shí)代，我們似乎一再追求“好不好用”，對(duì)“安不安全”卻專注甚少。當(dāng)我們沉浸在“技術(shù)進(jìn)步”的喜悅中時(shí)，也該思考下，我們寫在“臉”上的密碼或許正在出賣我們。

保護(hù)AI安全發(fā)展，我們可以做什么？

人工智能在許多場(chǎng)景的應(yīng)用都與人身安全息息相關(guān)，如自動(dòng)駕駛、身份認(rèn)證、監(jiān)控安防等。如果在這些領(lǐng)域，一旦AI技術(shù)被濫用或者AI算法出現(xiàn)漏洞，將直接侵害人身權(quán)益，后果難以挽回。監(jiān)控部門也已經(jīng)注意到AI安全問題的嚴(yán)重性。今年4月全國(guó)人大常委會(huì)審議的《民法典人格權(quán)編(草案)》里，正式加了一條：任何組織和個(gè)人不得以利用信息技術(shù)手段偽造的方式侵害他人的肖像權(quán)。5月，國(guó)家網(wǎng)信辦會(huì)同有關(guān)部門發(fā)布《數(shù)據(jù)安全管理辦法（征求意見稿）》，其中表示，網(wǎng)絡(luò)運(yùn)營(yíng)者不得以謀取利益或損害他人利益為目的利用大數(shù)據(jù)、人工智能等技術(shù)自動(dòng)合成信息。除了加強(qiáng)監(jiān)管力度，確保人工智能安全、可控發(fā)展，也需要從安全對(duì)抗的本質(zhì)上出發(fā)，鑄造更高門檻的防御技術(shù)，以AI應(yīng)對(duì)AI。作為清華大學(xué)AI研究院的重點(diǎn)孵化企業(yè)，RealAI與清華大學(xué)AI研究院聯(lián)合開發(fā)出人工智能安全平臺(tái)—RealSafe平臺(tái)。RealSafe作為深度學(xué)習(xí)攻擊防御算法與評(píng)測(cè)的統(tǒng)一平臺(tái)，提供多種攻擊與防御算法，并融合白盒、黑盒等不同場(chǎng)景，可以提供全面、細(xì)致的攻擊防御算法的評(píng)測(cè)與比較。此外，RealSafe安全技術(shù)也可以應(yīng)用至金融領(lǐng)域的身份驗(yàn)證、安防領(lǐng)域的監(jiān)控識(shí)別等具體場(chǎng)景，提高AI應(yīng)用的安全性，避免不法之徒鉆空子。最后，AI安全問題已經(jīng)不再只是學(xué)術(shù)談?wù)摚鐣?huì)各界都應(yīng)該提高對(duì)AI安全的意識(shí)，畢竟，AI已來，而解決AI安全問題已經(jīng)迫在眉睫！