近日，Deepfake（深度伪造）在中韩都引发讨论，犯罪群体利用社交媒体公开的照片进行非法合成，制作虚假的不雅内容，这也是我们日常听到的“AI换脸”，不少网友称这是韩国“N号房2.0”。九月初，中科院工程师张欣怡所在团队，将Deepfake攻防AI模型面向全球开源，此举也让更多人关注到deepfake这项深度伪造技术。

深圳市大数据研究院的研究科学家刘斯奇，是人脸活体检测的资深研究学者，对Deepfake此类生成式模型一直保持关注。这周恰好是国家网络安全宣传周，记者与刘斯奇研究员展开对话，他就Deepfake对抗检测工具的技术细节，以及最近备受关注的中科院团队开源AI对抗模型分享了自己的看法。

识破换脸：将差别特征提取出来

这两年，随着人工智能技术飞速发展，Deepfake（深度伪造）也日益成熟，该项技术通常指使用深度学习进行涉及人脸和人声的多媒体伪造，是一种全新的媒体造假方式。Deepfake在电影行业运用颇多，而最出圈的莫过于虚拟“数字人”的应用，这些都给社会带来了一些便利。但值得注意的是，这同时也带来了前所未有的安全挑战，诸如例如该技术进行AI换脸欺诈、不雅影片制作等不合法行为时有发生。

早在2017年，就有人通过Deepfake将他人肖像用做素材合成的不雅视频上传到了网上。随后，这些应用程序生成的视频和图像越来越多地被用于干预各类重要活动，从而影响公众舆论。

某网站上的AI换脸工具，使用者只需将照片上传即可换脸成功

刘斯奇指出，从2017年到现在，相应的Deepfake检测，即识别深度伪造的思路有很多种，并随着生成的方式革新，有了更多变化和策略，在学术界，主流的研究方向有两大类，他解释道，

“一类是基于时空分析的；深度伪造视频里的人脸是一帧一帧生成的，帧与帧之间会有光线或者动作的不连续性。另外，有的生成式模型生成出来的皮肤细节动作会比较少，典型的比如嘴部动作。大家会围绕这些细节特征设计检测模型。”

另一类是基于图像纹理特征的方式，被替换的区域可能在光照效果，纹理，色调上有些微差异。传统“水印检测”也能实现Deepfake检测，刘斯奇进一步补充道，“一台相机拍出来的照片，不管内容是什么，它的底层噪声会有一些特有的模式。如果后续把诸如脸部的关键区域换掉，那么那个地方会呈现出不同的模式，与周围区域对比起来有明显差别。”

波士顿大学研究干扰 deepfake 生成的流程图，在图像上应用一组无法觉察的噪声，就能使得该图片无法被换掉

刘斯奇指出，从目前在实验的角度来看，考虑更多的是，用什么方式能够把判别力强的、鲁棒的（Robust的音译，也就是健壮和强壮的意思。它是在异常和危险情况下系统生存的能力。比如说，计算机软件在输入错误、磁盘故障、网络过载或有意攻击情况下，能否不死机、不崩溃，就是该软件的鲁棒性。）差别的特征提取出来，这也是deepfake各种攻防大赛举办的原因。

开源后重要的是不断更新迭代

“我要怎么证明‘我’不是我？”面对deepfake技术被滥用，AI换脸被热议，张欣怡工程师在社交媒体上发出这样子的疑问，随即她宣布将团队参与的deepfake攻防挑战赛AI模型向全球开源。

张欣怡在社交媒体上宣布将团队参与的deepfake攻防挑战赛AI模型向全球开源

刘斯奇认为，“开源”本身让更多人关注到deepfake的研究发展。“从学术的角度来看，这扩大了影响力，开源意味着模型更容易被同行follow，也加快了Deepfake领域研究本身的发展。”

至于在网络上讨论颇多的，开发出一个软件或者插件给普通人使用，刘斯奇指出，事实上，已经有不少在线应用可以用于检测深度伪造图片。而对于新模型开源后普通人的使用问题，刘斯奇表示这仍有门槛，使用新模型需要有一些编程基础，要根据教程部署模型，然后按指引进行命令行操作。张欣怡也在社交媒体里表示，未来团队会开发检测应用来降低使用门槛。

但挑战远不止这么简单，AI防御检测类工具的能力，往往可能需要等新问题出现后才能提升，比较容易陷入被动状态。刘斯奇认为，模型开源同时也意味着攻击方式可以根据模型进行调整，“就类似于我知道你要出招式，我会有应对的策略，当下次再发起攻击时，我就会用更好、更完美的模型，此时再要检测，以前的方法可能就不管用了。”因而此类攻防AI模型是需要不断推动去更新换代。

建议：平台应对AI生成内容进行提醒

事实上，刘斯奇认为，除了讨论个人如何使用此类检测工具，更重要的是敦促有关社交平台和视频平台对AI生成内容进行积极管控和提醒。

某视频网站对AI合成视频有小字提醒

“比如一段视频可能包含AI生成的内容，应该在视频下相应提示，如果基于AI创作的内容造成恶劣影响的，平台就应该主动监管，限制其传播。”刘斯奇补充道。

文/广州日报新花城记者：张慧琪

图/广州日报新花城记者：张慧琪

视频/广州日报新花城记者：张慧琪

广州日报新花城编辑：蔡凌跃