前不久,社交媒体平台上一款名为“蚂蚁呀嘿”的特效火爆全网,许多网友都将自己的照片导入换脸软件Avatarify中,照片便可以被算法驱动,生成一段表情夸张扭曲且跟着节奏晃动的换脸短视频。短短几天后,正如此前火爆一时的换脸软件ZAO一样,Avatarify被下架,许多人猜测下架原因是AI换脸可能涉及隐私问题。AI换脸技术的原理是什么?换脸是否会造成个人隐私泄露?带着网友的提问,《科技周刊》记者专访东南大学网络空间安全学院副教授宋宇波,为我们揭开AI换脸技术的秘密。
问:AI换脸技术背后的原理是什么?
宋宇波:最早实现换脸是通过修图(Photoshop)的方式实现的,不仅耗时耗力,其换脸效果也不佳。而目前比较流行的换脸软件,实际上是运用了生成式对抗网络(GAN)技术,这是深度学习模型中的一种。简单来说,就是机器通过事先采集大数据中的人脸表情特征,再结合换脸人本身的一些特征信息,通过“对抗博弈”的方式不断进化,最终生成我们所希望得到的换脸视频。这种方式不仅可以快速地实现自动换脸,其生成的图像也更逼真。
问:什么是生成式对抗网络?
宋宇波:尽管生成式对抗网络中包含“网络”一词,但它和我们通常所说的“互联网”并不是一回事,它本质上是一个数学算法。由于生成式对抗网络采用的是深度学习中的神经网络学习算法,故而保留了“网络”两个字。
生成式对抗网络框架通过让两个神经网络相互博弈的方式进行学习,其中一个是生成器,另一个是判别器。生成器根据预置的规则尝试生成数据,而判别器则会去判别是否是真实数据,并把判别结果反馈给生成器,生成器会根据反馈信息进行调整,从而输出新的数据,两者反复博弈直到判别器将生成器生成的数据判别为真实数据为止。例如当我们想生成一个笑脸时,判别器会自动识别生成器随机生成的表情是否为笑脸;如果不是,此信息会被驳回,生成器会根据反馈重新调整生成数据,经过层层判别,最终输出的人脸里既会包含换脸人本身的特征,同时也包含我们所期望的笑脸表情。
值得注意的是,机器前期采集的喜怒哀乐等通用表情信息主要来源于大数据图库,而并非换脸人的个人表情信息。这也就意味着,利用对抗生成网络技术实现的换脸仅需要不多的个人人脸照片即可。该换脸技术诞生最初大概需要300-500张换脸人的图片,而随着近年技术的不断改进,现在仅仅需要3-5张相关照片就可以生成需要的换脸照片或者视频。
在机器学习中,生成式对抗网络的应用非常多,其最主要的用途就是生成我们想要的数据。目前大部分应用集中于视频和图像创造,例如我们在拍摄中需要一些动画或者特定场景,原本可能需要制作道具或者耗费人工进行手绘,而现在利用这一技术,则可以变得非常高效。
问:AI换脸是否存在个人隐私泄露风险?伪视频、伪图片能攻破人脸识别系统吗?
宋宇波:任何一种技术都存在两面性,如果单纯是为了搞笑消遣而制作换脸视频,本身并没有太多的危害,但如果这一技术被不法分子利用,则会产生极大危害。信息被滥用、个人生物识别特征被泄露等风险,是这类软件频繁引发质疑的一个重要原因。对于政治人物或明星来说,将他们的脸移植到一些他们本不该出现的场景中,很有可能造成负面影响;而对于个人来说,目前许多金融场所都依赖于视频线上识别来进行身份核实,如果不法分子运用深度合成中的表情操纵方法生成伪视频,则很可能造成个人金钱损失。
2019年11月底,国家网信办、文旅部和国家广电总局等三个部门联合发布的《网络音视频信息服务管理规定》指出,利用基于深度学习、虚拟现实等新技术新应用制作、发布、传播非真实音视频信息的,应当以显著方式予以标识;不得利用相关的音视频技术“侵害他人名誉权、肖像权、隐私权、知识产权和其他合法权益”。全国政协十三届四次会议新闻发言人郭卫民也表示,目前《个人信息保护法》草案已经提请全国人大常委会审议,这一法律的颁布和实施,对保护个人信息安全将发挥重要作用。由此可见,个人信息安全问题已经引起相关部门重视。尽管此类软件大多声明不会采集和存储用户敏感个人信息,但网友在上传个人照片给第三方后,第三方自身平台的防护系统是否安全?是否会被恶意攻破从而造成隐私泄露?这些方面都应该得到更多关注。
就目前而言,通过App下载的换脸图片或者视频,由于计算量有限,其图像质量还比较差,仔细观察后还是存在面部不自然等问题。而那些图像质量高到可以欺骗人眼的换脸图片和视频,在相关检测算法的判别下通常也都会“原形毕露”,因此,普通用户不必过于担心人脸识别系统会被攻破。但随着技术的不断改进,未来这类软件很可能对我们的个人隐私造成较大威胁,因此我们也呼吁相关法规尽快出台。记者 谢诗涵