AI“换脸”打开潘多拉魔盒，如何应对？

最近，一款名为“ZAO”的变脸应用吸引了公众的注意力。当用户上传照片时，他们可以用自己的脸代替电影和电视剧中主要人物的脸。除了“明星瘾”，它还让公众关注“变脸”带来的个人信息泄露风险。

在信息时代，“脸”不仅仅是一张人的名片。人脸信息成为个人财产安全的关键。一旦钥匙落入他人之手，将对个人财产安全构成巨大威胁。

为此，《中国科学日报》走访了科研机构和人工智能科技企业，请技术专家分析以刷牙为代表的生物识别技术背后的安全风险，同时进一步探讨:应该如何建立防范措施来应对人工智能技术打开的潘多拉魔盒？

人眼很难分辨，而且越来越容易伪造。

“人工智能带来的安全和隐私问题早已引起国内外的关注。人工智能变脸只是最近出现的一个新例子。”中国科学院院士、清华大学人工智能研究所所长张博坦言。

早在20年前，基于三维模型的人工智能人脸变换技术就已经进入研究领域，但是人脸变换的效果并不令人满意。近年来，随着对抗网络生成技术的引入，人脸变化的效果有了很大的提高，人眼很难找到人脸变化的痕迹。

人脸变化的本质是人脸生物信息在人工智能领域的应用。此外，人类已经实现了生物信息的应用，如指纹、虹膜、掌纹、手形、静脉、笔迹、步态、声音等。

然而，由个人生物信息的泄露引起的安全问题从未受到如此多的关注。清华大学人工智能公司RealAI的算法科学家肖子豪在谈到原因时说，一方面，近年来，公众越来越关注个人隐私问题；另一方面，人工智能技术发展迅速，技术越来越成熟，效果越来越逼真，操作越来越简单，使得应用领域和场景越来越多。

“变脸过去是由世界*科研团队完成的，现在普通人躺在沙发上用手指就能轻松完成，大大降低了造假成本。”肖子豪告诉记者。

北京邮电大学模式识别实验室的邓教授认为收集的人脸图像和人脸生成技术如果被滥用，将会带来很大的风险。

此前，旧金山和萨默维尔出于对个人隐私的担忧，禁止使用面部识别。

过度获取用户信息会增加滥用的风险。

“ZAO”引起关注的另一个重要原因是，该申请包含涉及个人隐私保护的“霸王条款”。

APP的原始用户协议规定，一旦用户自己上传的内容被发布，平台将默认获得用户和电影原主角的肖像授权，ZAO及其附属公司有权在全球范围内“完全免费、不可撤销、永久、可转让和可再许可”使用、修改和编辑内容材料。如果用户不同意协议，他们不能使用应用程序。

这项规定很快引起了公众对个人信息安全和隐私保护的质疑。

与此同时，相关的生物识别应用要求用户上传越来越多的个人信息。以“ZAO”为例，该应用要求用户提供个人高清图片，并上传现场测试视频，如点头和眨眼。

肖子豪告诉记者，软件应用开发者在获得大量个人生物信息后，可以丰富模型优化的训练数据，可以大大提高应用的准确性和准确性，从而提升用户体验，但也意味着个人信息的完全暴露。

今年8月，中国信息与通信研究院发布的《人工智能数据安全白皮书》显示，人工智能应用程序所收集的信息，如人脸、指纹和虹膜等，具有很强的个人属性和独特性。过度收集个人数据会加剧隐私泄露的风险。

为应对“ZAO”应用用户隐私协议中的不规范行为和数据泄露风险等网络数据安全问题，9月3日，工业和信息化部网络安全管理局对北京摩摩科技有限公司(以下简称摩科技)相关负责人进行了询问和访谈。

该局要求Momo Technology“依法组织自查整改，收集和使用用户个人信息”，并责令其“规范协议条款，加强网络数据和用户个人信息的安全保护”。

变脸还是突破支付，数据管理只靠自律？

在ZAO引起广泛关注后，“支付宝安全中心”于8月31日通过官方渠道发表声明称，无论脸部变化有多逼真，都无法突破刷面支付。

支付宝安全中心解释说，3D人脸识别技术是用于面刷支付。在人脸识别之前，软硬件结合进行检测，以确定采集的人脸是由照片、视频还是模拟生成的，可以有效避免各种人脸伪造造成的身份盗用。

话虽如此，考虑到刷面付款还没有大规模应用，潜在的安全风险可能还没有浮出水面。

邓还告诉记者，虽然没有使用个人面部信息来突破刷牙和付款等功能的案例，但这并不代表刷牙功能的绝对安全性。此外，欺诈生成技术不断升级，未来有可能突破现有的刷面支付功能。

他介绍了一种可能性:人工智能变脸软件已经收集了大量的人脸图像。如果信息被滥用，它可以在技术上准确地恢复用户的三维面部信息。结合三维打印模型和面具，它足以攻击系统，如刷牙和支付。

邓魏宏建议管理部门和学术界应重视这些风险问题，制定或发展有效的防御策略。

如何保证个人生物信息安全？张博说，至少应该加强管理和约束，包括数据管理和合理使用。

他举了一个例子。最近，一些公司的语音合成技术已经达到了可以完全扭曲的程度，这与“变脸”技术一样容易被滥用。从这个角度来看，这些公司已经制定了自律规则来限制这种人工智能技术的使用，以确保用户个人生物信息的安全。

“目前，获得多少个人生物信息以及如何使用这些信息缺乏行业标准。如何制定规则来有效控制个人生物信息的使用是当务之急。”张博告诉《中国科学》。

今年4月，清华大学成立了战略与安全研究中心，开展国际战略与安全相关的学术和政策研究。其中，人工智能安全策略的制定是中心的重要组成部分。

“真相”和“假面”很难区分，为了防止相反的论点，这将是一个漫长的过程。

有没有任何技术手段来鉴别哪个是“真相”，哪个是“假面”？

答案是肯定的，也是否定的。邓告诉记者，由于原始人脸图像的特征已经被完全覆盖，目前还没有特别可靠的技术来还原原始的头部图像。然而，计算机视觉技术比人眼更精确，可以有效地检测人脸变化留下的图像痕迹。

他说，例如，美国国防部去年发布了一个人工智能检测工具，对变脸的检测准确率超过99%。加州大学伯克利分校的研究人员还提议通过特定人物的面部行为细节来准确“发现”模仿各种名人的假视频。

邓的研究小组也在此基础上进行了初步实验。实验结果表明，假视频的检测率可以达到98%以上。

然而，在看到美国国防部开发的“反人工智能变脸”刑事调查工具后，达特茅斯大学的数字取证专家哈尼·法里德认为，目前的一个关键问题是，机器学习系统可以接受更高级的培训，然后超越当前的反变脸工具。

这也意味着这些“人工智能攻击人工智能”反变脸工具只是开始——人工智能视频造假者和数字调查者之间将会有一场长期而持久的人工智能军备竞赛。

技术的频繁滥用使我们思考如何解决这个问题。

引发个人信息安全和隐私保护问题的人工智能技术不仅改变了人们的面貌。

最近，一组学生课堂行为分析的视频截图在网上引发了热烈的讨论。在照片中，摄像机通过计算机视觉算法获得学生的课堂表现，并以标签的形式计算出“听、读、举手、躺在桌子上、玩手机、睡觉”等动作的数量。截图显示技术方案来自师旷科技。

尽管师旷科技在9月3日立即回应称，这是该公司的“技术场景的概念演示”，目前“还处于技术演示阶段，尚未应用到地面”，但不可避免的是，教育工作者会直接大声疾呼，智能教室中的行为分析已成为“全景开放*”。

随着人工智能技术的发展至今，它已经给安全、医疗、教育、工业等各行各业带来了巨大的变化，甚至起到了颠覆行业的作用。然而，面对一波又一波的技术滥用、个人隐私保护和人工智能应用背后的信息安全问题，如何规范人工智能技术的使用确实发人深省。

一些美国城市和欧盟已经采取了严格的措施，甚至通过了禁酒令。如前所述，在旧金山，*机构未经授权使用人脸识别技术和“通过人脸识别技术获取某些信息”是被禁止的非法行为。在瑞典，一所高中被瑞典数据监管机构罚款20万瑞典克朗(合14.8万元人民币)，理由是“数据所有者和数据管理者之间存在明显的信息不对称”，该机构测试了一个用于计算学生出勤率的人脸识别系统

“围绕个人隐私和群体安全问题，在人脸识别和其他技术的使用上需要一种平衡。”汤汤科技的联合创始人徐炳在最近的一次采访中告诉记者:“这种平衡是一个好规则——不仅要监管人脸识别技术公司，还要监管使用这些技术的*。”

"事实上，人脸识别技术创造的价值是公认的."徐炳不希望像人脸识别这样的新技术被简单粗暴地禁止:“作为发明和使用新技术的人，他们应该认真思考这些问题，共同努力促进新规范的形成，而不是直接禁止它们。”