基于生成對(duì)抗網(wǎng)絡(luò)人臉生成技術(shù)信息安全風(fēng)險(xiǎn)研究

◆趙 鵬 白國(guó)柱

基于生成對(duì)抗網(wǎng)絡(luò)人臉生成技術(shù)信息安全風(fēng)險(xiǎn)研究

◆趙 鵬 白國(guó)柱

（國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心陜西分中心 陜西 710075）

針對(duì)基于生成對(duì)抗網(wǎng)絡(luò)人臉生成技術(shù)發(fā)展迅速、生成效果越來(lái)越逼真可信的現(xiàn)狀，本文對(duì)該技術(shù)的基本原理、衍生模型和已有應(yīng)用進(jìn)行分析和研究，發(fā)現(xiàn)該技術(shù)在國(guó)家公共安全、新聞?shì)浾搫?dòng)員、企業(yè)經(jīng)濟(jì)運(yùn)行、生物認(rèn)證防護(hù)、社會(huì)倫理道德等方面存在重大信息安全風(fēng)險(xiǎn)。本文立足我國(guó)科技公共治理體制、機(jī)制存在不足的具體國(guó)情，從法律建設(shè)、行業(yè)管理、技術(shù)引導(dǎo)、宣傳教育等方面給出了對(duì)策建議。

成對(duì)抗網(wǎng)絡(luò)；衍生模型；人臉生成；信息安全風(fēng)險(xiǎn)評(píng)估

生成對(duì)抗網(wǎng)絡(luò)（Generative Adversarial Network，GAN）是2014年由Goodfellow等人[1]提出的一種生成式深度學(xué)習(xí)模型，該模型提出后很快成為了圖像和視覺領(lǐng)域熱點(diǎn)研究方向之一。應(yīng)用GAN技術(shù)的Deepfakes在境外社交媒體、網(wǎng)絡(luò)論壇上大肆傳播，引起了極大爭(zhēng)議。國(guó)內(nèi)“將朱茵的黃蓉?fù)Q成楊冪的臉”話題也曾登上微博熱搜，瀏覽量更是達(dá)到1.2億次。2019年初，NVIDIA 公司在Github上開源了改進(jìn)的GAN變體：Style-GAN 模型[2]。該模型生成的人臉具備隨機(jī)細(xì)節(jié)（如雀斑、頭發(fā)），僅憑肉眼已經(jīng)無(wú)法分辨真?zhèn)巍ｋS著基于GAN的人臉生成技術(shù)的不斷發(fā)展，其潛在的政治、輿論、倫理、隱私等信息安全風(fēng)險(xiǎn)也獲得越來(lái)越多人的關(guān)注[3]。

1 GAN 人臉生成技術(shù)原理及現(xiàn)狀

1.1 基本原理

偽造人臉的產(chǎn)生依賴于神經(jīng)網(wǎng)絡(luò)和GAN，神經(jīng)網(wǎng)絡(luò)反映了人腦的工作原理，而GAN則使生成的人臉更加真實(shí)。GAN的核心思想來(lái)源于博弈論中的二人零和博弈[4]，Goodfellow等通過(guò)兩個(gè)神經(jīng)網(wǎng)絡(luò)進(jìn)行對(duì)抗，來(lái)改善生成圖像的品質(zhì)。圖1給出了GAN的基本結(jié)構(gòu)，GAN 模型由一個(gè)生成器（Generator）和一個(gè)判別器（Discriminator）組成。

圖1 GAN的基本結(jié)構(gòu)和工作流程

生成器的工作是創(chuàng)建新的、偽造的人臉數(shù)據(jù)，試圖復(fù)制被提供的真實(shí)人臉數(shù)據(jù)的分布。隨后，真實(shí)數(shù)據(jù)集和新創(chuàng)建的偽造數(shù)據(jù)都被輸入第二個(gè)神經(jīng)網(wǎng)絡(luò)：判別器。判別器的工作很簡(jiǎn)單：判斷數(shù)據(jù)集中哪些圖像（包含偽造人臉）是真實(shí)的。如果判別器能夠識(shí)別出生成人臉，那么生成器就可以“學(xué)習(xí)”判別器是如何判斷偽造數(shù)據(jù)，并糾正所犯的錯(cuò)誤。隨著這個(gè)過(guò)程的每一次迭代，生成的偽造人臉圖像變得越來(lái)越難以發(fā)現(xiàn)，最終判別網(wǎng)絡(luò)不再能夠區(qū)分出生成人臉圖像和真實(shí)人臉圖像之間的區(qū)別[1]。

1.2 衍生模型研究

隨著GAN研究的深入，相關(guān)的衍生模型多達(dá)上百種。表1按照提出的時(shí)間順序給出了與人臉生成相關(guān)的經(jīng)典衍生模型。這些模型的創(chuàng)新點(diǎn)包括模型結(jié)構(gòu)改進(jìn)、理論擴(kuò)展及應(yīng)用等，生成圖像效果也更逼近真實(shí)圖像。表中2018年提出的SAGAN模型在 ImageNet[5]的128×128分辨率圖像生成上的Inception Score（IS）[6]達(dá)到52分[7]，BigGAN模型在SAGAN的基礎(chǔ)上又將IS提高了100分，達(dá)到166分，而真實(shí)圖像IS得分為233分[8]。

表1 衍生模型分析表

1.3 已有應(yīng)用分析

GAN 衍生模型研究不斷進(jìn)步的同時(shí)，基于 GAN 人臉生成技術(shù)應(yīng)用也在 Github 等開源社區(qū)中大量涌現(xiàn)，如Faceapp、Faceswap、Deepfacelab、Openfaceswap、Deepnude 等。這些應(yīng)用不僅開源了代碼，而且大部分都提供了一鍵式操作的圖形界面，使普通用戶也能方便的合成人臉，極大地降低了GAN技術(shù)的使用門檻。詳細(xì)情況如表2所示。

2 信息安全風(fēng)險(xiǎn)分析

合成人臉能無(wú)中生有，與GAN算法的結(jié)合更極大地提高了其逼真度、可信度，一旦進(jìn)入數(shù)據(jù)高度開放流動(dòng)的互聯(lián)網(wǎng)領(lǐng)域，深度偽造人臉信息的影響力瞬間能被成千萬(wàn)倍放大，負(fù)面作用不得不引起重視，主要體現(xiàn)在以下五方面：

一是國(guó)家安全、公共安全受到威脅[3-15]?；贕AN人臉生成技術(shù)存在成為虛假信息戰(zhàn)爭(zhēng)最新武器的可能，圖2為網(wǎng)絡(luò)上廣泛傳播的美國(guó)總統(tǒng)特朗普與前總統(tǒng)奧巴馬的“換臉”視頻截圖。它可以讓虛假的信息以高度可信的方式呈現(xiàn)給社會(huì)公眾，從而操縱民眾的情緒反應(yīng)，引發(fā)社會(huì)廣泛的不信任。它也很可能被國(guó)內(nèi)外競(jìng)爭(zhēng)對(duì)手利用，作為詆毀國(guó)內(nèi)政黨、煽動(dòng)恐怖、暴力活動(dòng)、挑撥社會(huì)內(nèi)部矛盾的工具。

圖2 奧巴馬與特朗普“換臉”

二是新聞媒體行業(yè)社會(huì)信任衰退。一方面人臉生成技術(shù)會(huì)加劇社會(huì)公眾對(duì)媒體、記者的不信任，同時(shí)難以證偽的報(bào)道會(huì)使記者質(zhì)疑有關(guān)真相證據(jù)的真實(shí)性，從而阻礙該證據(jù)的呈現(xiàn)和報(bào)道。最終，虛假信息會(huì)掩蓋并代替真相，造成“信任衰退效應(yīng)”。此外，公開該項(xiàng)技術(shù)可能令其成為說(shuō)謊者擺脫質(zhì)疑的工具－對(duì)于不利于自己的報(bào)道，任何人都可以宣稱是偽造的，從而達(dá)到混淆公眾視聽的目的。

三是企業(yè)信譽(yù)和形象受損。人臉生成技術(shù)可以利用企業(yè)負(fù)責(zé)人的公開談話視頻，篡改表情及談話內(nèi)容，散播虛假信息，讓社會(huì)公眾發(fā)生錯(cuò)誤認(rèn)識(shí)，直接影響公司的信譽(yù)和形象，造成無(wú)可挽回的經(jīng)濟(jì)損失。例如在企業(yè) IPO 前一晚，一段包含公司 CEO 偽造人臉的視頻公開宣布公司破產(chǎn)，由于市場(chǎng)反饋比當(dāng)事人澄清的速度更快更及時(shí)，將會(huì)對(duì)企業(yè)造成重大經(jīng)濟(jì)損失。

四是人臉生物認(rèn)證系統(tǒng)安保能力經(jīng)受沖擊。每個(gè)人都有獨(dú)一無(wú)二的臉、指紋和虹膜等，正是這種唯一性，讓大家認(rèn)為生物認(rèn)證是安全的。然而研究表明，當(dāng)前基于最優(yōu)的 VGG 和 Facenet 神經(jīng)網(wǎng)絡(luò)的人臉識(shí)別系統(tǒng)無(wú)法抵御生成人臉的“攻擊”，這兩個(gè)模型在高質(zhì)量視頻上的誤識(shí)率分別為85.62%和95.00%[16]，而基于 BiGAN、Style-GAN 等改進(jìn)后的換臉技術(shù)將進(jìn)一步加重這一挑戰(zhàn)，侵蝕社會(huì)信任度，沖擊金融、通信等行業(yè)的生物認(rèn)證系統(tǒng)的安全防護(hù)能力。

五是侵犯?jìng)€(gè)人隱私引發(fā)倫理爭(zhēng)議[17-18]。該技術(shù)能將一些公眾人物的臉拼接到色情明星的身體上，偽造逼真的色情場(chǎng)景，如圖3所示。這些虛假色情視頻一經(jīng)傳播，受害人的名譽(yù)將嚴(yán)重受損。上述行為已經(jīng)涉嫌侵犯他人隱私和肖像權(quán)，構(gòu)成違法犯罪。此外，有關(guān)網(wǎng)絡(luò)騷擾的研究發(fā)現(xiàn)，這種現(xiàn)象越來(lái)越多發(fā)生在弱勢(shì)群體身上，人臉生成技術(shù)讓污名化女性、“色情報(bào)復(fù)”成為可能[19]。

圖3 換臉生成的蓋爾·加朵色情圖片

3 結(jié)語(yǔ)

長(zhǎng)期以來(lái)，我國(guó)科技發(fā)展處于“跟跑”狀態(tài)，當(dāng)科學(xué)研究和產(chǎn)業(yè)應(yīng)用方面遇到的社會(huì)、法律和倫理問(wèn)題，可以學(xué)習(xí)借鑒國(guó)際經(jīng)驗(yàn)，不走或少走“彎路”[20]。然而，基于GAN人臉生成技術(shù)對(duì)全世界來(lái)說(shuō)都是一個(gè)新事物，在治理方面沒有現(xiàn)成的經(jīng)驗(yàn)。從“跟著學(xué)”到“帶頭做”是一個(gè)巨大的角色轉(zhuǎn)變。其次，雖然近年來(lái)我國(guó)在人工智能、大數(shù)據(jù)、互聯(lián)網(wǎng)+等領(lǐng)域做了很多行業(yè)監(jiān)管探索，但科技公共治理體制機(jī)制仍存在諸多不足，突出表現(xiàn)在：一是新技術(shù)新應(yīng)用新業(yè)態(tài)上下游產(chǎn)業(yè)鏈有關(guān)主體責(zé)任劃分仍然缺乏明確、詳細(xì)的法律規(guī)定；二是行業(yè)監(jiān)管體系缺乏頂層設(shè)計(jì)，行業(yè)監(jiān)管方法、手段不健全，存在管理空窗期；三是人工智能等前瞻技術(shù)儲(chǔ)備不足，反制工具開發(fā)不夠，相關(guān)事態(tài)應(yīng)急處置機(jī)制尚未建立。

鑒于基于GAN人臉生成技術(shù)發(fā)展現(xiàn)狀以及我國(guó)的具體國(guó)情，提出以下建議：

一是法律建設(shè)層面，立法機(jī)構(gòu)要加快制定與人臉生成應(yīng)用相關(guān)的民事與刑事責(zé)任確認(rèn)、隱私和產(chǎn)權(quán)保護(hù)、信息安全利用等法律法規(guī)。建立追溯和問(wèn)責(zé)制度，明確生成人臉的創(chuàng)作者、傳播者、網(wǎng)絡(luò)社交平臺(tái)等主體的相關(guān)權(quán)利、義務(wù)和責(zé)任。嚴(yán)厲打擊利用生成人臉實(shí)施的各種違法犯罪活動(dòng)，確?；?GAN 人臉生成技術(shù)整個(gè)生命周期的安全可控。

二是行業(yè)管理層面，監(jiān)管機(jī)構(gòu)要全方位監(jiān)測(cè)風(fēng)險(xiǎn)、引導(dǎo)發(fā)展和應(yīng)對(duì)危機(jī)。構(gòu)建動(dòng)態(tài)的人臉生成技術(shù)評(píng)估評(píng)價(jià)機(jī)制，對(duì)特定應(yīng)用建立安全審查制度和定期檢測(cè)評(píng)估制度。開展相關(guān)科學(xué)和倫理等問(wèn)題研究，建立多層次的生成人臉倫理框架，引導(dǎo)企業(yè)、學(xué)界和公眾等多方主體參與治理。制定由生成人臉而引發(fā)政治、輿論、公共安全等突發(fā)事件應(yīng)急方案。

三是技術(shù)引導(dǎo)層面，鼓勵(lì)開發(fā)多樣化的檢測(cè)、對(duì)抗生成人臉技術(shù)工具箱。充分借鑒國(guó)際人臉生成技術(shù)治理方法和工具的基礎(chǔ)上，圍繞人臉數(shù)據(jù)保護(hù)、生物認(rèn)證升級(jí)和檢測(cè)算法實(shí)現(xiàn)等人臉生成技術(shù)治理的關(guān)鍵問(wèn)題，加大科研經(jīng)費(fèi)投入和人才培養(yǎng)，研發(fā)適合我國(guó)制度環(huán)境和社會(huì)基礎(chǔ)的系列對(duì)抗工具。

四是宣傳教育層面，對(duì)互聯(lián)網(wǎng)企業(yè)和社會(huì)公眾進(jìn)行針對(duì)性的宣傳教育，使其認(rèn)識(shí)到傳播此類不良信息造成的影響和危害，提高企業(yè)和社會(huì)公眾辨別不良信息的能力。

[1]Goodfellow I，Pouget-Abadie J，Mirza M，et al. Generative adversarial nets[C]//Advances in neural information processing systems. 2014：2672-2680.

[2]Karras T，Laine S，Aila T. A style-based generator architecture for generative adversarial networks[C]//Proceedings of the IEEE Conference on Computer Vision and Pattern Recognition. 2019：4401-4410.

[3]Chesney R，Citron D K. Deep fakes：a looming challenge for privacy，democracy，and national security[J].2018.

[4]俞建.博弈論與非線性分析[M].北京：科學(xué)出版社， 2008.

[5]Deng J，Dong W，Socher R，et al. Imagenet： A large-scale hierarchical image database[C]//2009 IEEE conference on computer vision and pattern recognition. IEEE. 2009. 248-255.

[6]Salimans T，Goodfellow I，Zaremba W，et al. Improved techniques for training gans[C]//Advances in neural information processing systems. 2016：2234-2242.

[7]Zhang H，Goodfellow I，Metaxas D，et al. Self-attention generative adversarial networks[J]. 2018，arXiv preprint arXiv：1805.08318.

[8]Brock A，Donahue J，Simonyan K. Large scale gan training for high fidelity natural image synthesis[J].2018，arXiv preprint arXiv：1809.11096.

[9]Mirza M，Osindero S. Conditional generative adversarial nets[J]. 2014，arXiv preprint arXiv：1411-1784.

[10]Denton E L，Chintala S，F(xiàn)ergus R. Deep generativeimage models using a laplacian pyramid of adversarial networks[C]//Advances in neural information processing systems. 2015：1486-1494.

[11]Radford A，Metz L，Chintala S. Unsupervised representation learning with deep convolutional generative adversarial networks[J]. 2015，arXiv preprint arXiv：1511.06434.

[12]Liu M Y，Tuzel O. Coupled generative adversarial networks[C]//Advances in neural information processing systems. 2016. 469-477.

[13]Arjovsky M，Chintala S，Bottou L. Wasserstein gan[J]. 2017，arXiv preprint arXiv：1701.07875.

[14]Karras T，Aila T，Laine S，et al. Progressive growing of gans for improved quality，stability，and variation[J]. 2017，arXiv preprint arXiv：1710.10196.

[15]Chesney R，Citron D. Deepfakes and the New Disinformation War：The Coming Age of Post-Truth Geopolitics[J]. Foreign Aff.，2019：98-147.

[16]Korshunov P，Marcel S. DeepFakes：a New Threat to Face Recognition?Assessment and Detection[J].2018，arXiv preprint arXiv：1812.08685.

[17]神奇女俠“下海”拍片？別興奮，下一個(gè)可能就是你“老婆”[EB/OL]. https://www.ifanr.com/977830.

[18]谷歌把TensorFlow送給世界，世界卻用它人工合成色情片[EB/OL]. http://www.yidianzixun.com/article/0IMDonKL.

[19]Citron D K，F(xiàn)ranks M A. Criminalizing revenge porn[J]. Wake Forest L. Rev. 2014，49-345.

[20]盧陽(yáng)旭，何光喜.我國(guó)人工智能治理面臨的機(jī)遇和挑戰(zhàn)：基于科技公共治理視角[J].行政管理改革，2019（8）:29-36.