本文来自微信公众号“学习时报”,【作者】谢洪涛,中国科学技术大学信息科学技术学院教授。
在人工智能时代,科技的飞速发展不仅带来了便捷与高效的生活方式,也催生了一系列令人担忧的新问题。其中,深度伪造(Deepfake)技术的崛起,无疑是近年来最为引人注目的科技伦理挑战之一。深度伪造技术,简而言之,是一种利用人工智能技术,将一个人的脸部特征无缝地“移植”到另一个人的脸部视频中的技术。这种技术能够创造出极为逼真的虚拟影像,使得观众难以分辨其真伪。
起初,深度伪造技术被用于娱乐和创意领域,但如今却逐渐暴露出潜在的风险和危害。在娱乐产业上,深度伪造技术可能涉及肖像权的侵犯;而在政治领域,恶意使用者可能利用深度伪造视频来制造政治谣言,损害公众人物的声誉;在国防安全方面,这项技术可能被用于伪造军事情报,混淆视听,对国家安全构成严重威胁。那么,对于深度伪造视频,我们可以做些什么?
主动干扰:为人脸加上看不见的保护
主动干扰技术是指在内容发布前,给所发布的内容添加保护性的对抗攻击噪声,使恶意伪造方无法成功利用受保护的人脸内容进行伪造。
具体来说,人脸深度伪造可分为预处理过程和生成过程,预处理过程旨在检测发布内容中的人脸区域并提取人脸关键点,为后续生成过程提供人脸结构信息;生成过程则将预处理的人脸内容作为深度伪造模型的输入,实现目标伪造。干扰其中任意一个过程都会导致最终的伪造失败,这为深度伪造主动防御提供了思路。因此,研究者们会给人脸内容添加人眼难以察觉的噪声,经过设计与优化,这些噪声会干扰人脸深度伪造的预处理或生成过程,例如,使人脸关键点无法被正确提取,从而使最终的人脸伪造结果呈现出被破坏的形态,使目标伪造失效。
值得注意的是,在干扰过程中,所引入的对抗攻击噪声应具有隐蔽性、通用性和鲁棒性。隐蔽性是指噪声的引入对原人脸内容的视觉质量影响较小,这种影响主要受噪声的强度和分布位置所决定。通用性是指噪声的干扰效果对不同的深度伪造方法均生效。在实际应用场景中,由于主动干扰所应对的深度伪造方法通常是未知的,因此通用性是主动干扰技术落地应用的保障。鲁棒性是指噪声即便在传输过程中失真或变换,其干扰性能仍然不会失效。例如,常见的高斯噪声、高斯模糊等,保证了主动干扰技术在媒体传播环境下的稳定性。作为一种“事前防御”手段,主动干扰技术能够从源头上实现对人脸内容的保护。因此,研究兼具隐蔽性、通用性和鲁棒性的主动干扰技术,对于维护网络内容安全、保护人脸隐私权等具有至关重要的作用。
主动取证:水印技术助力深度伪造检测与溯源
除了主动干扰技术外,主动取证技术也是另一种对抗深度伪造攻击的重要策略。这种方法通过在图像或视频素材中嵌入可追溯的保护信息,实现对伪造内容的溯源与认证,形成一种“事后问责”的技术手段。这不仅提升了伪造内容检测的能力,也为遏制潜在的滥用提供了保障。
目前,主动取证技术主要依赖隐写技术和水印嵌入技术。在生成伪造内容的过程中,嵌入的信息能够随素材的传播被保留,并在检测时提供溯源依据。例如,通过嵌入特殊标记,可以有效标记深度伪造模型生成的内容,并在事后追踪到使用了相关模型的恶意伪造者。与主动干扰研究类似,主动取证任务的研究重点也集中在提升保护信息的隐蔽性、通用性与鲁棒性上。
针对这些挑战,研究者提出了多样化的优化策略,通过利用深度伪造模型生成内容中潜在的生成器特征,并结合高效的水印提取算法,使溯源精度得以提升。同时,为了进一步增强隐蔽性和鲁棒性,先进的数字水印技术正在被深入探索。此外,多模态的主动取证方法也开始受到关注,这种方法在视觉和音频素材中同时嵌入保护信息,从而构建起更全面的防御体系。
进一步,有关研究团队提出了一种创新的基于身份水印的主动防御方法,该方法为人脸图像提供了语义级别的保护,能有效防止伪造者对人脸身份特征的操纵。该方法通过在图像中嵌入身份水印,并基于伪随机序列独特的统计特性设计水印信息的相关验证机制,实现对深度伪造内容的高泛化检测。该方法的实用性在个人数据保护和防伪领域展现了重要价值。例如,用户在分享个人图片前,可以先嵌入自己的身份水印。一旦互联网上出现与这些水印图像具有相似身份特征的伪造内容,图像所有者就可以通过验证水印的存在来判断这些图像的真实性。这种基于身份水印的防御策略不仅强化了用户隐私保护,也为数字内容的可信性提供了坚实保障。
被动检测:对抗深度伪造的最后一道防线
除了主动干扰和主动取证技术外,面对已经成功生成和传播的深度伪造视频,我们可以将被动检测技术作为对抗深度伪造的最后一道防线。
被动检测技术,顾名思义,就是面对疑似视频,通过分析手段来直接判断其是否由深度伪造技术所合成。近年来,尽管深度伪造技术一直在不断发展,伪造的视觉效果也越来越逼真,但是“魔高一尺,道高一丈”,不断优化的检测技术仍能从伪造视频中挖掘蛛丝马迹的线索。这种被动检测的防御方案简单高效,是我们对抗深度伪造威胁的又一有力武器。
面向被动检测任务,首先可以利用的是人脸视频中所蕴含的丰富的生物信息。研究发现,伪造视频中的人物往往无法像真人一样自然地完成眨眼动作,因此,统计视频中人物的眨眼频率成为一个行之有效的检测方法。此外,考虑到伪造技术所合成的“假人”无法拥有和真人一样的心跳节律,我们可以借助面部光学分析手段来监测视频中人物的心律变化,从而判断其是不是真人。
除了直观的生物信息外,随着深度学习技术的不断进步,越来越多的方法开始从各种角度挖掘伪造的线索。例如,在伪造人脸的合成过程中,伪造者不可避免地需要将其重新贴合到目标视频中,以完成整个视频的制作。然而,这一步骤往往会在人脸周围留下人为的融合痕迹,因此检测这些融合边界就成为一个重要的突破口。此外,人脸中的身份信息作为最关键的特征之一,通常也很难被伪造方法完美地复制。这通常表现为伪造人物面部轮廓的异常、表情习惯的不自然等。同时,考虑到我们可以轻易地获取到名人政要等公众人物的公开视频作为身份参考,基于身份信息的检测方法在检测涉及公众人物的深度伪造视频时具有一定的优势。
总之,面对日益严峻的深度伪造威胁,我们可以从主动干扰、主动取证、被动检测等多个方面着手,共同筑起对抗深度伪造的防线,维护互联网内容安全。