杭州电子科技大学AI鉴伪技术新突破:从“被动检测”到“主动防御”
杭州电子科技大学AI鉴伪技术新突破:从“被动检测”到“主动防御”
2025年1月,香港警方通报了一起震惊全国的AI诈骗案:一家英国跨国企业的香港分公司被骗子利用AI换脸和音频合成技术,冒充总公司CFO,在视频会议中骗取了2亿港币。这起案件不仅暴露了AI换脸诈骗的严重性,也凸显了发展先进AI鉴伪技术的紧迫性。
从“被动检测”到“主动防御”的技术突破
在第十三届中国创新创业大赛创新挑战赛(浙江)暨2024年浙江省技术需求“揭榜挂帅”大赛总决赛上,杭州电子科技大学网络空间安全学院副教授、浙江—法国数字媒体取证联合实验室负责人乔通展示了其团队研发的“面向电诈场景的音视频鉴伪溯源技术”。这种技术变“被动检测”为“主动防御”,有望为人工智能鉴伪提供新思路。
传统的人工智能鉴伪方法主要依赖于事后鉴别,即在虚假内容生成后再进行检测。这种方法虽然能在一定程度上识别出AI伪造的图像和视频,但难以及时遏制虚假内容的传播。而乔通团队研发的可扩展通用对抗性(SUA)水印技术,则开创性地实现了事前防御。
SUA水印技术的核心原理是在需要保护的视频、图像或语音素材中嵌入特殊水印。当这些素材被用于AI加工时,水印会触发“引信”,直接破坏生成后的内容。与传统水印技术相比,SUA水印具有显著优势:
- 通用性:以往单个水印只能针对一种模型,而SUA水印无需基于所有伪造模型进行重新训练,具有更好的通用性。
- 效率高:大量实验证明,SUA水印不仅能节省算力,还能有效扩展主动防御范围,显著提高主动防御效果。
- 兼容性强:该技术可以与现有的被动检测方法结合使用,形成多层次的防护体系。
实战应用:为金融机构装上“火眼金睛”
在实际应用中,乔通团队的技术已经展现出强大的实用性。针对目前市场上主流的人工智能伪造工具,该团队开发的AI鉴伪系统,能秒速级识别出AI图像及视频,并给出相应分析报告,准确率高达95%以上。
特别是在金融领域,该技术正在发挥重要作用。登录银行或者其他App时,用户通常会被要求做摇头、眨眼等动作,进行人脸活体检测。不法分子通过黑色产业链,可以获取目标对象的人脸照片、音频素材,伪造多模态媒体素材,然后实施诈骗。为保证平台安全,乔通建议,进行人脸识别前应再加一道无形的核验环节。据了解,针对目前市场上主流的人工智能伪造工具,乔通团队开发的人工智能鉴伪系统,能秒速级识别出人工智能图像及视频,并给出相应分析报告,准确率95%以上。
“相比大型银行,地方中小银行对防伪技术的投入相对不足。”乔通说,团队目前在与地方公安、小型金融机构等进行合作,研发定制化技术,在活体检测环节为相关平台装上“火眼金睛”,判定屏幕那端“是人还是妖”。
行业意义:构建AI时代的网络安全防火墙
在乔通看来,人工智能鉴伪和深度伪造是此消彼长的关系,需要更多机构、企业参与,推动人工智能鉴伪技术突破和应用落地,共同搭建人工智能时代的网络安全防火墙。“我们团队正积极对接企业,探索商业化模式。”乔通说,“要筑牢人工智能安全底座,让反诈举措更加柔性。”
随着深度学习技术的发展,自动编码器、生成对抗网络等技术逐渐被应用到深度伪造中。Deepfakes依赖于一种称为自动编码器的神经网络。它们由编码器和解码器组成,编码器将图像减少到较低维的潜空间,解码器从潜表征中重建图像。图源:深度伪造的原理及实战 Deepfakes通过使用通用编码器将人编码到潜在空间中来利用这种架构。潜表征包含有关其面部特征和身体姿势的关键特征。然后可以使用专门针对目标训练的模型对其进行解码。这意味着目标的详细信息将叠加在原始视频的底层面部和身体特征上,并在潜空间中表征。图源:深度伪造的原理及实战 另一种制作深度伪造品的方法是使用所谓的「生成对抗网络」(Gan)。Gan让两种人工智能算法相互竞争。第一个算法称为生成器,输入随机噪声并将其转换为图像。然后,该合成图像被添加到真实图像流(例如名人图像)中,这些图像被输入到第二个算法(称为鉴别器)中。起初,合成图像看起来一点也不像人脸。但重复这个过程无数次,并提供性能反馈,判别器和生成器都会得到改进。如果有足够的周期和反馈,生成器将开始生成完全不存在的名人的完全逼真的面孔。
而之前霉霉的AI不雅照在X平台上被疯传,甚至惊动了白宫的发言人。在1月26日白宫记者会上,发言人Karine Jean-Pierre被问及此事时表示该事件令人担忧(alarming)。「虽然社交媒体公司在内容管理方面有自己的独立决策,但我们认为,他们在严格贯彻其监管制度以防止错误信息和未经本人允许的私密图像传播方面,应起到重要作用。」
如何识别检测伪造的视频而对于泛滥的Deepfake内容,也有越来越多的研究在关注如何识别和检测的技术。论文地址:https://openaccess.thecvf.com/content/WACV2022/papers/Mazaheri_Detection_and_Localization_of_Facial_Expression_Manipulations_WACV_2022_paper.pdf 2022年由加州大学河滨分校的计算机科学家团队开发了一种新方法来检测深度伪造视频中被操纵的面部表情。该方法可以以高达 99% 的准确率检测这些伪造的视频。这个方法将检测造假视频任务分成深度神经网络中的两个部分。第一个分支辨别面部表情,同时提供有关包含该表情的区域的信息。这些区域可以包括嘴、眼睛、前额等。然后这些信息被输入到第二个分支,该分支是一个编码器-解码器架构,负责操作检测和定位。研究团队将这个框架命名为「表达操纵检测」(EMD),它可以检测并定位图像中已更改的特定区域。作者称Ghazal Mazaheri:「多任务学习可以利用面部表情识别系统学到的突出特征来有利于传统操纵检测系统的训练。这种方法在面部表情操纵检测方面取得了令人印象深刻的性能,」
大模型兴起为深度伪造带来土壤,业界呼吁跨学科联合攻坚鉴伪技术。·鉴伪技术开发需要跨学科合作,当前的鉴伪技术以软件算法为主,未来将走向软硬一体。大模型兴起为深度伪造带来土壤,业界呼吁跨学科联合攻坚鉴伪技术。在大模型时代,人工智能合成语音与真实语音之间的界限变得越发模糊,提升与之匹配的识别技术迫在眉睫。7月23日,主题为语音深度鉴伪识别的第九届信也科技杯全球人工智能算法大赛总决赛在上海举行,大赛鼓励参赛者运用深度学习和人工智能对抗技术,开发出能够准确识别虚假语音的模型。深度伪造是一种利用深度学习和人工智能技术生成高度逼真的虚假内容的方法。大模型的兴起为深度伪造带来了土壤,只需输入提示词,AI系统就会输出图片、视频、音频,真假难辨。以虚假语音为例,大模型能够生成多种虚假语音,这些虚假语音更真实、拟人,对话流畅,为虚假语音识别带来更大的挑战。“在一些高价值场景里,往往会发生AI生成语音欺诈。但是,目前语音鉴伪技术的发展却滞后于语音合成技术。”信也科技副总裁、大数据及AI负责人陈磊表示。在决赛中,选手运用不同算法模型和训练思路识别虚假语音,包括运用基于大模型的识别技术、基于传统端到端的识别技术等。端到端的识别技术参数量较小,聚焦更垂直的问题;大模型的参数量较大,对数据要求较高,泛化能力强,对由大模型生成的假语音数据的识别率有明显提升。信也科技算法科学家吕强介绍,初赛的语音数据集主要由传统端到端TTS(文字转语音)生成的假语音组成,识别难度较低,复赛数据集首次加入了基于最新大模型生成的假语音、翻录假语音以及由真假语言拼接而成的样本,覆盖英语、法语、西班牙语等五种以上语言,比赛难度增加。“复赛加入由大模型生成的假语音后比赛难度变大,也能说明最新大模型‘以假乱真’的能力变强了,这要求相应的深度伪造识别技术必须跟上脚步。”“我们特意在比赛中加入了一些新场景数据,比如翻录假语音,也就是对生成的真语音经过多次录音再生成的数据,我们认为这是假语音。”吕强表示,针对这一场景,大赛利用真假语音切片、混合,构建对抗性数据,避免人工听语音、打标签干扰比赛,“只要有一个切片是假语音,那么整条都是假语音,这更接近真实场景,但识别挑战大。如果能解决翻录问题和真假对抗,将具有学术价值。”吕强也表示,文本、视频等多模态信息有助于语音鉴伪,大模型和多模态将是语音鉴伪的重要发展方向。伪造技术与鉴伪技术“竞赛”,两者的发展呈螺旋式上升。陈磊表示,语音大模型的研究要把应用问题抽象提炼成学术问题,在解决学术问题后经过工程化,解决具体业务场景的真实需求。鉴伪技术开发需要跨学科合作,当前的鉴伪技术以软件算法为主,未来将走向软硬一体,借助硬件溯源声音采集,从硬件层面起到假语音风险防控作用。“鉴伪没有终点,只要生成式道路还没有走到头,鉴伪就会一直往下走。”陈磊表示,赛后信也科技将开源数据,用于更广泛的学术研究,将选手的材料脱敏后共享学习。同时在业务场景中吸收前沿模型思想,构建AIGC鉴伪平台。他认为生成式AI要符合治理规则,人工智能治理需要监管层的顶层设计进行规范和引导,同时呼吁生态共建,以产业界共创防范系统性风险。
(原标题:大模型为深度伪造带来土壤,业界呼吁跨学科联合攻坚鉴伪技术)