AI換臉擬聲威脅金融防線 機構「深偽」對抗全面升級

轉自：中國經營網

本報記者 李暉 北京報道

技術大爆發永遠是一把雙刃劍。隨着生成式人工智能技術的發展和普及，技術門檻大幅降低，也為不法分子提供了機會。

2023年以來，「通過AI換臉和擬聲技術實施詐騙」的新型騙局頻繁登上新聞頭條，引發大眾關注。在機構側，數據顯示，在全球範圍內，有接近一半（46%）的企業遭受過合成身份的欺詐，90%的受訪企業認為這種行為已日益嚴重。

金融行業作為資金匯聚地一向是不法攻擊的主要目標。中國信通院人工智能所安全與元宇宙部工程師鄒皓在接受《中國經營報》記者採訪時表示，雖然深度偽造（Deepfake，以下簡稱「深偽」）攻擊在金融機構遭到的網絡攻擊中絕對佔比可能不是最高，但隨着AIGC發展，生成一段偽造視頻的技術門檻和所需資源越來越低，有可能將在下一階段成為威脅金融行業安全的重要因素。

「用魔法打敗魔法」是對抗技術攻擊的核心要義。記者近期採訪瞭解到，當前國內金融行業在防禦人臉和聲音深偽方面的投入不斷加碼，部分金融機構開發了防深偽的檢測模型以應對這一新型威脅，並加大相關領域團隊建設，而一些領先金融科技公司也開始將相關技術能力產品化。

一家國有銀行人臉業務項目負責人向記者表示，檢測技術有一定的滯后性，新的算法需要樣本積累和過濾，機構自身能做的就是爭取在犯罪前捕捉行為動機，無限貼近作案時點。

深偽漸成金融業重要威脅因素

人臉識別技術以其高效的身份驗證特性，在金融行業中廣泛應用，這也導致相關領域面臨的基於AI的人臉攻擊案例開始抬頭。

公開信息顯示，2021年，一家大型銀行受到來自IP地址為中國臺灣的黑客攻擊，該攻擊7次通過了該行的人臉識別、6次通過了活體檢測，最終導致多位儲户損失合計數百萬元。

記者從一家第三方評測機構獲得的數據顯示，在已開展的移動端評測中，人臉識別產品首次送檢被攻破的概率高達71%，二次送檢被攻破的概率也有25%。

AI換臉主要是使用深度合成技術。鄒皓告訴記者，其技術邏輯是使用大量的人臉數據，通過深度學習算法和神經網絡，訓練模型識別理解人臉的關鍵特徵。在換臉的過程中，使用訓練好的模型提取原始人臉照片或視頻的特徵，然后將目標人臉與之相匹配，實現這些特徵的轉移。

「前幾年，實現AI換臉存在一定的門檻，因為通常需要高質量的數據集對模型進行訓練並保證足夠的算力資源支持。但近年來相對成熟的深度合成開源工具，讓AI換臉的成本逐步降低，速度和擬真度不斷提升，目前幾分鍾到幾小時就能製作一段肉眼難以辨別的換臉視頻。」鄒皓直言。

金融領域相比於個人用戶，網絡攻擊更為複雜和高風險。相比傳統的呈現式欺詐攻擊（照片、電子屏、面具等為主），近年來更加複雜的注入式攻擊（底層攝像頭驅動竄改、傳輸層抓包、系統函數劫持等）甚至對抗樣本攻擊均在迅速增加。全球技術研究與諮詢機構Garther研究數據顯示，雖然呈現式攻擊目前仍是主流，但注入式攻擊在2023年增加了200%。

奇富科技首席算法科學家費浩峻向記者表示，在辨識度上，深偽技術能夠生成非常逼真的人臉圖像和視頻，使得偽造內容難以被肉眼識別，增加了攻擊的隱蔽性；而利用對抗樣本技術，針對特定的檢測模型生成能夠繞過檢測的偽造內容。此外，模式上的升級，除了視頻和圖像，深度偽造技術還可以結合聲音、文本等其他模態，實現更全面的欺騙；通常還會配合一定的隱私數據，以一定腳本去構建攻擊方案，更難防禦。

相比國內較為完善的證件管理環境和AI基礎設施，一些新興市場面臨的威脅更加觸目驚心。

根據身份驗證提供商Sumsub最新年度報告，2022—2023年，全球多國與深偽相關的身份欺詐案件激增，例如菲律賓的詐騙企圖數量同比增長4500%。

「在東南亞地區，民眾對個人信息保護的意識相對薄弱，證件管理體系尚待完善。由於膚色和五官特徵與國內人羣存在差異，在構建人臉識別算法的數據集時限制了樣本的多樣性，進而影響了人臉識別技術的準確率，」信也科技算法科學家呂強告訴記者。

他向記者表示：在過去的幾年中，傳統的人臉識別算法主要依賴於端到端的合成技術。而當前，大模型技術的興起使得底層架構趨向於對抗式生成網絡。這種架構在訓練過程中不斷地識別並針對問題進行迭代優化，顯著提升了合成圖像的真實性。因此，我們需要在業務擴展過程中不斷進行技術的調試和升級。

技術對抗加速升級

應對深偽攻擊，與殺毒和造毒一樣，是長期攻防對抗的過程。

「深偽攻和防是一個相對且不斷精進的過程，你在進步，深偽也在進步，我們要做的就是跑在它的前面。」螞蟻集團旗下可信身份平臺ZOLOZ 產品總監陶冶向記者表示。

今年4中旬，ZOLOZ 正式上線了深偽綜合防控產品 Deeper，實現在用户刷臉場景中有效攔截 「AI換臉」風險。據陶冶透露：螞蟻集團天璣實驗室會通過GAN模型生成超30萬測試樣本，交給 ZOLOZ Deeper 進行判別訓練，每個月還會對其進行超過2萬次的攻防測評，模擬上百種偽造攻擊情況。

有矛一定有盾，矛的特點變化也需要盾去與時俱進改變既有應對思路。

「我們正在構建一些大規模的模型來對抗深偽技術，通過精細化地捕捉到虛假語音中邏輯不一致的微妙特徵。例如，合成的人臉可能存在兩隻眼睛的對稱性問題，或者眼神的角度不一致；而在語音方面，聲音的顫抖可能表明緊張情緒，或者是語音合成的產物。類似於測謊儀通過捕捉這些細節變化來測謊，我們的AI大模型也通過相似的機制來識別虛假語音。」呂強向記者表示。

近年來多家銀行、金融科技公司都在加大應對深度偽造對抗的資金和資源投入。據費浩峻透露，公司持續加強對深偽技術背后算法的技術研發以及人才投入，在圖像/視頻，音頻方向上都成立了專業的研究團隊，以更好理解偽造內容的生成機制，並研發更有效的檢測方法。

「目前我們最大的困擾是大量的不法中介，通過鼓動欺騙普通消費者的方法，來幫助消費者騙貸，從中獲取暴利，對消費者和機構都帶來了很大的傷害。」費浩峻直言。

據其透露，為應對這一挑戰，團隊已經開始通過多重的AI技術去識別這種行為，在對抗過程中模擬攻擊手段來訓練檢測系統不斷升級自己的識別能力，並結合業務流程和業務行為，對用户風險行為進行預估，通過升級環境監測、語音情緒連貫性、聲紋、對話異常分析等多種手段，對案件進行打擊。

「只提供身份安全能力是不夠的，在具體的業務中需要各種終端能力的結合，比如事前用身份安全，事中通過交易過程反欺詐，事后通過反監督機制整體做攔截。」陶冶表示。

從應對效果看，ZOLOZ 在印尼和菲律賓的一些客户發現深偽類攻擊后切換到Deeper，目前攻擊已經是清零狀態。

如何「比黑客早半步」

除了機構自身的研發建設，如何通過各界合作，尋找全行業對抗「技術作惡」的合力，實現「比黑客早半步」也至關重要。

記者瞭解到，針對人臉識別應用的安全、合規的問題，中國信通院在2021年4月發起了「可信人臉應用守護計劃」。

據鄒皓透露，通過打造自動化機械臂測試環境、主動配合式機器人、自動化算法測試平臺等自動化測試工具，其構建了「人臉識別安全評測實驗室」，可以復現各類攻擊行為。已經幫助30余家金融機構、技術企業發現人臉識別系統、聲紋識別系統的安全風險。

技術發展過程當中攻防需要不斷演練，漏洞懸賞獎金和賽事則是業界「化被動為主動」的安全策略。

公開信息顯示，微軟曾在 2019 年送出史上最高一筆漏洞挖掘獎勵，總額高達20萬美元，稱發現這一漏洞為數十億用户提供了保護。而今年亦有黑客通過發現特斯拉系統漏洞，贏得 20 萬美元獎金和一輛 Model 3。

記者瞭解到，今年4月ZOLOZ 聯合螞蟻安全響應中心（AntSRC）設立了超百萬的獎金池，支持安全極客來挖掘 ZOLOZ Deeper 的漏洞，通過「螞蟻集團安全響應中心」官網提交漏洞情報。

「我們希望通過這種方式把技術濫用轉化成正面力量，通過鼓勵更多白帽子黑客發現問題漏洞，在不斷攻防演練過程當中提升我們的技術能力。」陶冶直言。

同時，一些機構也開始在一些亟待提升的技術維度佈局。比如信也科技將今年的「信也科技杯」全球人工智能算法大賽的主題定為「語音深度鑑偽」。

呂強告訴記者：在一些關鍵價值場景中，AI生成的語音欺詐行為日益增多。儘管如此，語音鑑偽技術的發展卻相對滯后。「我們期望在比賽中看到參賽者提出更多能夠識別新型假語音、特別是大模型生成的假語音的方法，並希望這些成果能夠應用到實際生產中。比賽結束后我們會開源比賽數據，用脱敏數據形成開源數據集，推進產學研合作。」

無論如何，業界針對類似攻擊已經開始從認知和技術上構建更高標準的應對措施。

鄒皓向記者透露，目前信通院已經研究和開發相關的安全能力評估標準和工具，幫助技術提供方、技術使用方提升生物特徵識別系統的安全性和可靠性。在他看來，國內機構應當在技術研發、標準化建設和國際合作上進一步加強投入，並進一步建立健全數據保護機制。