圖 | ZAO APP（來源：網(wǎng)絡(luò)）

近日，換臉APP“ZAO”從一夜爆火到被工信部約談，再次折射出業(yè)界與公眾在AI技術(shù)安全與倫理方面認知的巨大鴻溝，以及政府在AI技術(shù)治理方面的意識與決心。

雖然“ZAO”隨后修改了此前爭議巨大的用戶協(xié)議，但仍被大量注銷卸載，目前APP綜合評分已跌至1.9分，評論內(nèi)容多為對隱私泄露及安全風險的不滿。有技術(shù)咖直指，這是開發(fā)方對于技術(shù)應(yīng)用的倫理規(guī)范缺少敬畏，為了流量不惜犧牲用戶的知情權(quán)，甚至試圖將相應(yīng)責任甩鍋給用戶的惡劣行徑導致的反噬，也足以讓更多技術(shù)開發(fā)者引以為戒。

圖 | 通過 DeepFake 技術(shù)，蓋爾·加朵的臉被加在了成人女星身上（來源：reddit）

當然，從技術(shù)層面來說，“ZAO”并不是AI“換臉”的首次應(yīng)用。早在2017年12月，Reddit論壇的網(wǎng)友deepfake運用AI技術(shù)將“小電影”女主角的臉替換成明星蓋爾·加朵（神奇女俠的主演）。此后，隨著該項技術(shù)開源，應(yīng)用越發(fā)廣泛，前段時間一鍵脫衣的DeepNude更是引起了廣泛關(guān)注和擔憂。而在政治方面，Twitter上“奧巴馬吐槽特朗普是笨蛋”的假視頻引起了一系列的跟風。美國眾議院6月就Deepfake技術(shù)舉行了聽證會，討論了AI技術(shù)操縱輿論的潛力，如利用假視頻削弱政府機構(gòu)和新聞媒體的公信力，甚至會對2020年大選產(chǎn)生災(zāi)難性影響。此外，最近還發(fā)生了詐騙團伙利用AI合成語音技術(shù)從英國一家公司騙走22萬歐元的案例。

“耳聞之不如目見之，目見之不如足踐之。”隨著AI技術(shù)“換臉換聲“變得越發(fā)容易且可“足踐之”后，我們的“耳聞”和“目見”都變得“假作真時真亦假”。技術(shù)的發(fā)展又一次呼喚倫理與安全的規(guī)范。

事實上，早在2015年，AI安全的概念就已經(jīng)被學界提出。隨著人工智能應(yīng)用的爆發(fā)，利用AI技術(shù)漏洞進行“逃逸攻擊”、“對抗樣本攻擊”和“數(shù)據(jù)污染攻擊”的案例逐漸增多。隨著AI技術(shù)的發(fā)展，隨之產(chǎn)生的安全風險也在不斷積累。尤其是人臉識別，作為AI技術(shù)應(yīng)用最為廣泛的場景之一，正面臨著愈發(fā)嚴峻的挑戰(zhàn)。人臉信息作為個人重要且敏感的信息，已經(jīng)綁定了大多數(shù)人的手機解鎖、支付，甚至政府類業(yè)務(wù)的一些身份驗證。如發(fā)生人臉信息泄露或偽裝，將對應(yīng)用人臉識別技術(shù)的金融支付、公共安全等場景造成巨大威脅。

孵化自清華大學人工智能研究院的RealAI

作為最早在“AI安全”領(lǐng)域開展研究的團隊之一，RealAI（瑞萊智慧）孵化自清華大學人工智能研究院，致力于研究和推廣安全、可靠、可信的第三代人工智能，核心團隊成員在清華大學就已經(jīng)開展了相關(guān)的研究。

RealAI CEO田天表示，近來發(fā)生的一些新聞事件，讓AI安全議題從學術(shù)圈走向了社會。目前已經(jīng)有越來越多的機構(gòu)開始進行相關(guān)的研究，未來AI安全會形成更大的影響力，社會各界都將意識到AI技術(shù)導致的安全問題，及其可能引發(fā)的深遠后果。

據(jù)了解，RealAI在AI安全領(lǐng)域的布局主要在兩個方面：一是防止AI算法被用于危害社會的行為，例如換臉假視頻。二是檢測AI算法的漏洞并加以修復，例如防止人臉識別被惡意攻破。RealAI認為，通過修復這些AI技術(shù)應(yīng)用潛在的風險，可以讓AI產(chǎn)業(yè)更加健康地發(fā)展。

“AI安全是一個持續(xù)攻防的過程，必然會呈現(xiàn)攻防互相促進發(fā)展的狀態(tài)。有新的攻擊手段出來，對應(yīng)的就會有新的防御方式。首先要掌握攻擊方式，才能知道如何去防御，防御的一方需要適應(yīng)動態(tài)變化的攻擊場景。”

對于“AI換臉”，RealAI有很強的生成技術(shù)，比如“無中生有”的AI換臉等；同時，也知道如何去檢測、防御它們。從效果上來看，目前RealAI在內(nèi)部測試集上換臉檢測的準確率已經(jīng)達到99%以上，這個測試集覆蓋了市面上大多數(shù)應(yīng)用換臉技術(shù)的假視頻。團隊現(xiàn)在也針對未來可能潛在的攻防場景做預演，為應(yīng)對潛在的風險提前設(shè)計可行方案。

圖 | 換臉檢測（來源：RealAI）

在AI算法漏洞檢測方面，如針對AI識別系統(tǒng)的“隱身”、“偽裝”等場景，RealAI則更注重在真實的物理世界（不同的光線、角度、距離、運動模糊、失焦等）實現(xiàn)，以及更加深入地研究如何利用白盒的替代模型來攻擊黑盒的受害模型。RealAI是作為首個利用對抗樣本攻擊技術(shù)，在現(xiàn)實世界中破解商用手機人臉識別系統(tǒng)的公司（，其他研究機構(gòu)多停留在數(shù)字世界或公共Face ID系統(tǒng)層面），。RealAI也能夠提供相應(yīng)的“防火墻”，目前其檢測“人臉偽裝”的算法準確率同樣已經(jīng)達到99%以上。

圖 | 破解人臉識別（來源：RealAI）

據(jù)了解，“隱身”、“偽裝”等攻擊手段的實現(xiàn)原理是“對抗樣本攻擊”方法。“對抗樣本攻擊”的防御方法主要有圖像預處理和去噪、檢測對抗樣本、對抗性訓練等。在這個領(lǐng)域，且國內(nèi)高校（尤其是清華人工智能研究院）很早就開展相關(guān)的技術(shù)研究，目前基本是處于領(lǐng)先地位。作為最早研究該技術(shù)的團隊之一，RealAI針對對抗樣本，使用了一些更新、更合適的方法來彌補傳統(tǒng)的算法漏洞。

今年5月，RealAI與清華大學人工智能研究院聯(lián)合發(fā)布了的人工智能安全平臺——RealSafe對抗攻防平臺，其支持對多種算法和模型進行對抗攻擊和防御。RealSafe平臺同時可以提供全面、細致的攻擊防御算法的評測與比較，輸出安全評測報告。

田天認為，“RealSafe平臺可以作為從技術(shù)的角度提出的測試平臺，它通過輸出指標來說明AI算法的安全系數(shù)。通過這個平臺，希望可以推動AI安全往前走一步，比如給政府部門提供參考，為政府部門制定衡量AI安全技術(shù)指標提供技術(shù)基礎(chǔ)”。

值得一提的是，與Google、IBM旗下的安全平臺相較，RealSafe平臺功能更加全面，支持更為通用的模型、更豐富的對抗攻擊和防御算法，具有突出的領(lǐng)先優(yōu)勢。此外，RealAI也在和部分相關(guān)企業(yè)合作定制化一些提升AI安全性的產(chǎn)品，比如檢測虛假內(nèi)容檢測工具。未來終端涉及到的場景將會有各種刷臉認證場景，如火車站、機場人臉識別閘機，手機、商店刷臉支付；公共場所動態(tài)監(jiān)控、安防布控等。

今年以來，多項重磅信息安全政策落地，包括等保2.0、史上最嚴的數(shù)據(jù)安全監(jiān)管辦法等。公眾對于AI安全的輿論也亟待產(chǎn)品應(yīng)用去改善。RealAI認為，AI安全是個很大的領(lǐng)域，不是某一個研究者或研究單位就能夠?qū)I安全的所有問題都解決，未來需要更多人參與進來，共同推動AI安全技術(shù)的進步。但這需要大家在同一框架下去討論、落地。因此，由政府引導，權(quán)威組織機構(gòu)制定AI安全方面的行業(yè)標準勢在必行。