查看原文
其他

科技20年大预测:Deepfake和AI安全漏洞 | 创观点

李开复 创新工场 2022-10-07



近期,创新工场董事长兼首席执行官李开复博士,联合科幻作家陈楸帆,出版了新书《AI未来进行式》,创造性地将科技与科幻融合,畅想了 20 年后在人工智能等科技影响下的人类世界。


作为深耕硬科技的 Deep Tech VC,创新工场投资的很多硬科技蓝图,在书中得到了来自未来的成熟应用场景展现。书中的 10 个短篇故事,展示了一系列的未来场景 —— 身临其境的沉浸式娱乐方式、自如使用人类语言的虚拟伴侣、 没有“司机”的完全自动驾驶汽车、能够以假乱真的照片和视频,以及基于量子计算、计算机视觉和其他 AI 技术的展开应用……


《假面神祗》讲述了一个利用技术手段欺骗人类视觉的故事。故事围绕西非尼日利亚的一个视频制作者展开,此人被招募来制作一段真假难辨的Deepfake(深度伪造)视频。如果他成功地做到瞒天过海,将引发灾难性的后果。




如果 AI 不仅可以看见、识别物体,还能对其加以理解及合成,那么就可以巧妙利用这些能力,创造出让人们无法分辨真伪的图像和视频。


那么,AI 是如何(通过摄像头和预先录制好的视频)掌握“看”这项能力的?一旦能看,将出现什么样的应用?基于 AI 的 Deepfake 究竟是如何实现的?人类或AI能够看穿 Deepfake 的真面目吗?怎样才能阻止 Deepfake 的滥用?AI技术还存在哪些安全漏洞?

 

 

—1—

Deepfake的火爆

 

“特朗普是个彻头彻尾的白痴。”在一段视频里,奥巴马这样说道。

 

这段视频里的奥巴马,无论是声音、相貌还是表情,都跟真正的奥巴马非常相似。

 

2018年末,美国演员乔丹·皮尔(Jordan Peele)与新闻聚合网站 BuzzFeed 合作,“自编自导”制作的这样一段“假”的 Deepfake 视频,迅速在网络上传播开,整段视频看起来没有丝毫的违和感。

 

制作这段视频的初衷是向人们发出警告:Deepfake 内容很快就会走进我们的日常生活。


2021年,一款名为 Avatarify 的 App 连续问鼎苹果 AppStore 免费下载榜单 Top 1。这款 App 的功能是让用户上传的照片“动起来”——用户可以操纵照片中人物的表情。我也只花了几秒钟,就让自己过去出版的书的封面肖像唱了一段英文老歌“Only You”,效果非常“魔性”。



Deepfake 似乎在一夜之间就火爆了起来。任何人都可以用它制作一段“假”视频,虽然视频的质量可能比较业余,会让人看出端倪,可是这并不妨碍 Deepfake 的流行与普及。

 

但换个角度来考虑,这也意味着,在我们的世界里,未来的所有数字信息都有被伪造的可能。无论是线上的视频、录音,还是安保摄像头拍摄的画面,甚至法庭上的视频证据,都有可能是假的。


Deepfake 换脸术建立在一种名为生成式对抗网络(GAN)的技术基础之上。顾名思义,GAN 是由一对互相对抗(博弈)的网络组成的深度学习神经网络。

 

其中的一个网络名为生成式网络,负责尝试生成一些看起来很真实的东西,例如基于数百万张狗的图片,合成一张虚构的狗的图片。另一个网络名为判别式网络,它会把生成式网络所合成的狗的图片与真实的狗的图片进行比较,确定生成式网络的输出是真是假。


第一篇有关 GAN 的论文发表于 2014 年。这篇论文展示了 GAN 的“对抗”过程——生成式网络首先合成了一个非常可爱但是看起来很假的“小狗球”(dogball)的图片,然后很快被判别式网络判定为“假”,接着生成式网络逐步学会了“伪造”让人很难区分真伪的狗的图片。目前,GAN 技术已经被应用于视频、演讲和许多其他形式的内容之中。

 

那么,以 GAN 技术为基础的 Deepfake 视频会被识破吗?目前大多数 Deepfake 视频都可以被算法检测到,有时甚至人眼就可以辨别出来,原因在于,这些视频在制作时使用的算法还不够完善,而且没有足够的算力做支撑。


长远来看,阻止 Deepfake 的最大难点其实在于 GAN 的内在机制——生成式网络和判别式网络会在一次次“博弈”之后携手升级。举个例子,我们构建了一个生成式网络,这时有人构建了一个判别式网络,它能够检测出我们的网络所生成的结果是“假”的,那么我们就可以把愚弄新的判别式网络作为目标,重新训练我们的生成式网络,这样就会激发判别式网络重新进行训练……这个循环发展到最后将成为一场军备竞赛,比的是哪一方能够用更强的算力训练出更好的模型。


在《AI未来进行式》中我预测,到 2042 年,针对 Deepfake 视频的防伪软件将成为类似于杀毒软件的存在。政府网站和官方新闻网站上对信息的真实度要求非常高,所以会设置强度最高的防伪检测器,以甄别网站上是否有由强大算力训练而成的 GAN 生成的高质量伪造视频。

 

难道就没有检测准确率能够达到 100% 的防伪检测器吗?这在未来并非无法实现,只不过可能需要采用一种完全不同的检测方法——每台设备在捕捉视频或照片时,就对每段视频和每张照片进行认证,用区块链保证它是原版的,绝对没有经过篡改。


然而,在2042年,这种“高级”的方法还无法落地,因为这种方法落地的前提之一是,让所有电子设备都部署上区块链技术。此外,区块链技术必须实现突破,才能处理这么大规模的内容。

其实除了制作 Deepfake 换脸视频,GAN也可以用于做一些更有建设性的工作,例如让照片中的人物变年轻或者变老、为黑白电影及照片上色、让静态的画作(例如《蒙娜丽莎》)动起来、提高分辨率、检测青光眼、预测气候变化带来的影响,甚至发现新药。

 

我们不能把 GAN 和 Deepfake 画上等号,因为这项技术的积极影响将远远超过其负面影响,绝大多数新出现的突破性技术也都是如此。

 


—2—

生物特征识别与AI安全

 

生物特征识别是利用人体固有的生理特征来进行个人身份鉴定的一个研究领域。

 

目前,虹膜识别是被大众认可的最为精准的生物特征识别方法。虹膜识别是在红外线的照射下捕捉并记录一个人的虹膜信息,然后将其与预先存储的虹膜特征进行比对。指纹识别的准确率也非常高。不过,由于虹膜识别和指纹识别都离不开特定的近场传感器装置的辅助与配合,所以对鉴别真伪视频无法发挥作用。

 


近年来,随着深度学习与 GAN 技术的突飞猛进,生物特征识别领域的研究也有了蓬勃的发展。在识别及鉴定任何单一维度的生物特征(例如人脸识别或语者声音识别)方面,AI 的准确率已经超过了人类的平均水平;在综合考量多维度生物特征的情况下,AI 的识别准确度已经趋于完美。

 

随着技术的不断进步,任何计算平台都可能出现漏洞及安全隐患,例如电脑病毒、信用卡盗用和垃圾电子邮件等。而且,随着 AI 的普及,AI 本身也将暴露出各种漏洞并遭到各方的攻击,Deepfake 反映出的只是其中的一个漏洞而已。

 

专门设计的对抗性输入是针对 AI 系统的攻击方法之一。攻击者将挑战 AI 系统的决策边界,并借此调整对 AI 系统的输入,进而达到让 AI 系统出错的目的。例如有研究人员在路面上贴了一些贴纸,成功愚弄了特斯拉 ModelS 型车上的自动驾驶系统,让其决定转换车道,直接开向迎面驶来的车辆。试想,如果有人把类似的攻击手段应用在军事领域,那么后果将不堪设想。

 

还有一种攻击 AI 系统的方法是对数据“下毒”:攻击者通过“污染”训练数据、训练模型或训练过程,来破坏 AI 系统的学习过程。这可能导致整个AI系统彻底崩溃,或者被犯罪者控制。

 

与传统的黑客攻击相比,对数据“下毒”的攻击手段更难被人类察觉。问题主要出在 AI 系统架构上面——模型中的复杂运算全部在成千上万层的神经网络中自主进行,而不是按照确切代码的指引进行的,所以 AI 系统先天就具有不可解释性,也不容易被“调试”。


 

尽管困难重重,但我们仍然可以采取明确的措施来阻止上述情况发生。例如,加强模型训练及执行环境的安全性,创建自动检查“中毒”迹象的工具,以及开发专门用于防止篡改数据或与其类似的规避手段的技术。

 

正如我们过去通过技术创新攻克了垃圾邮件、电脑病毒等一道道关卡一样,我深信技术创新也能大大提高未来 AI 技术的安全性,尽量减少给人类带来的困扰。毕竟,解铃还须系铃人。技术创新所带来的问题,最终还是要依靠新的技术创新来进行改善或彻底解决。


……

阅读更多内容,身临其境体验 2042 年的世界,了解 AI 将如何影响我们的生活,欢迎关注创新工场董事长兼首席执行官 李开复博士 X 科幻作家 陈楸帆 的新书《AI未来进行式》。






推荐阅读









您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存