数字经济时代,以“Deepfake”为代表的深度换脸技术更加智能化和高度真实化,尤其是大模型的快速发展使得深度伪造更加逼真,场景更加复杂,技术变种更快更多。当前,深度伪造技术被非法用于经济、政治、社会等领域,形成严重危害,获评“未来两年全球十大风险”之首,深度伪造检测面临更大挑战与更高要求。
根据相关资料,防伪大模型已经成为大模型时代深度防伪新机遇。在 Chain of thought 思维链作用下,防伪大模型拥有前所未有的编码能力,可以通过编码进行概念延申和推理,充分掌握图片细节所蕴含的内在信息;同时,由于 Scaling law 规模效应,防伪大模型的鉴伪能力随伪造数据的增加而线性增加,这一趋势目前仍未看到瓶颈。防伪大模型将复杂问题转变为数据驱动的简单问题,避免了传统专家模型的“雕花”思路,极大提升了防伪效果。
以金融行业为例,行业迫切需要一个针对“零日漏洞”的“零日修复”方案缩小风险敞口。马上消费通过其近十年在人工智能领域的技术沉淀,依托海量基础数据优势、实时更新的深度伪造算法库构建的防伪大模型,提供了在金融防伪和打击黑产方面的应用场景参考。马上消费防伪大模型利用超声建立跨模态信息机制有效拦截深度伪造的前置攻击,防伪大模型迭代周期从 90 天缩短至 1 天,防伪拦截率从 90.0% 提升到 99.9% 以上,实现人机协同的金融防伪新应用模式。此外,马上消费还建立了业内最大的黑灰产声纹库,数据规模达千万级,成为反黑产的重要“基础设施”。
“防伪大模型”,是指利用大模型技术手段,围绕伪造、伪冒检测问题,所构建的复杂模型。区别于传统专家模型,防伪大模型参数量更大、训练数据规模更大。从效果看,防伪大模型通常具有性能表现高、域外能力强、可解释性强的特点。
1.深度伪造正在并将持续引发广泛社会问题
数字经济时代,生成式人工智能(AIGC)因其在内容创造领域的广泛应用而备受关注。Deepfake 利用深度学习算法实现音视频的模拟和伪造,通过交换原始人脸和目标人脸的身份信息或编辑目标人脸的属性信息来合成虚假的人脸视频。在十多年的发展中,以“Deepfake”为代表的深度换脸技术通过将深度学习技术应用到换脸任务中,使其变得更加智能化和高度真实化,形成了巨大的轰动效应,受到了学术界和产业界的广泛重视。与此同时,技术发展往往是一把双刃剑,深度换脸技术已经被非法用于谋取不正常利益,并对经济、政治、社会等领域形成严重危害,引发各方高度关注。
图:微软最新发布的 VASA1 技术,仅使用一张用户照片即可完成动作、说话,十分逼真
获评全球十大风险之首。今年年初,世界经济论坛发布《2024 年全球风险报告》,将人工智能生成的错误信息和虚假信息列为“未来两年全球十大风险”之首,担心其会使本就两极分化、冲突频发的全球形势进一步恶化。当前人脸深度伪造技术仍处于快速发展阶段,虽其生成的真实感和自然度仍有待进一步提升,这类人脸深度伪造技术也很容易被不法分子恶意使用,用来制作色情电影、虚假新闻,甚至被用于诈骗与政要人物来制造政治谣言等,这对国家安全与社会稳定都带来了极大的潜在威胁。
频频用于国外政治领域。2022 年网络上就广泛流传过关于俄乌两国领导人的深度伪造视频。2023 年 4 月,美国共和党利用深度伪造技术发布竞选广告。在今年 1 月的美国民主党初选中,很多选民表示在初选前接到了“来自美国总统拜登的电话”,电话里“拜登”建议选民不要参与初选,应该把选票留到 11 月大选时投给民主党,这是拜登竞争对手迪安·菲利普斯的政治顾问克雷默尝试利用“深度伪造”操控选民,甚至直言:“只需要 500 美元,任何人都可以再现我的行为。”今年 3 月,印人党发布了最大反对党国大党领导人拉胡尔·甘地的一段深伪视频,视频中的“甘地”说着一句他从未说过的话:“我什么都不做。”印度深伪视频频繁扰动大选。2024 年是全球“大选年”,70 多个国家或地区将举行重要选举,人们普遍担忧人工智能会被武器化,被用来误导选民、诽谤候选人,甚至煽动暴力、仇恨和恐怖主义。
降低了造假和诈骗的门槛。深度伪造技术常被用于假冒熟人或他人身份进行诈骗。2024 年 1 月,不法分子利用人工智能深度伪造技术成功仿造了英国公司高层管理人员的形象和声音,并在网上会议中冒充多名人士,骗取香港一家跨国公司财务职员 2 亿港元,此举不仅是香港历史上损失最惨重的“变脸”案例,而且也是首次涉及 AI“多人变脸”的诈骗案。2023 年 12 月,一名留学生在境外被“绑架”,父母遭“绑匪”索要 500 万元赎金。据央视报道,仅在 2022 年,美国就发生了 240 万起人工智能相关诈骗案。此外,利用虚拟或合成身份盗用或注册他人账号骗取养老金、骗取人寿保险等潜在风险极大。
利用深度伪造技术假冒官方网站或账户发布不实信息等行为也屡见不鲜。今年 4 月,百亿私募诚奇资产被一家无私募展业资格的个体工商户注册“私募诚奇”微信公众号,导致官微不可用,类似的“李鬼”事件也发生在石锋资产、呈瑞投资等头部私募。2022年,斯坦福的两位学者 DiResta 和 Josh Goldstein 调查发现,超过 1000 个领英账户都在用 AI 生成的人脸做头像,这些假账户来自 70 多个公司,假装公司的销售给潜在客户发送消息,然后再让有购买意向的客户与真人销售建立联系,并已形成产业链。
导致金融黑灰产多发高发。当前,金融黑灰产整体呈现出高度专业化、组织化、链条化特点,运作手段不断翻新,且越来越多地应用前沿科技手段,进一步加大了消费者防范难度。马上消费人工智能研究院院长陆全表示,“Sora 的发布无疑是技术领域的一次重大突破,但也会降低 AI 伪冒门槛,潜在引发 Deepfake 等黑色产业链滋生蔓延”。他同时指出,多模态生成大模型为金融黑产提供了“先进武器”。据有关机构测算,仅 2023 年,国内黑产欺诈引发的经济损失达 1149 亿元,金融业务欺诈金额达 75 亿元,国家监管机构持续预警,金融机构声誉严重受损,金融客户合法权益不时受到侵害。
2.发展深度防御伪造大模型已经刻不容缓
(一)大模型时代深度防伪检测面临的挑战
深度伪造成效更加逼真。国务院发展研究中心国际技术经济研究所唐乾琛提出,当下,以 Midjourney、DALL-E、Stable Diffusion 等为代表的专业生成式人工智能模型,能够通过用户输入的图像和文字生成以假乱真的图像,达到与现实难以区分的效果。随着深度学习技术与 AIGC 在视频和图像生成领域的广泛应用,当前生成视频质量越来越贴近真实视频且以更低成本普及。以 ChatGPT 4.0 与 DALL·E 为代表的面向视频内容生成大语言模型的出现使得人脸生成发展迈上新台阶,Sora 和 ChatGPT-4o 的接续发布无疑验证了通过大规模数据训练 AI 模型能够创造更为逼真的理解现实世界物理规律形象的可能性。凭借扩散模型通过训练神经网络来逆转添加高斯噪声带来的纯噪声,即从纯噪声中合成数据直到产生干净样本的机制,使得人脸视频防伪检测技术难以捕捉视频伪造线索。
深度伪造场景更加复杂。深度伪造技术在色情、欺诈、合成语音等典型场景存在较多应用与风险,特别是开源代码的普及,使得这一技术的泛在普适性特征更加显著,面临着低门槛扩散化的风险。近年来,虚假内容泛滥成灾、花样迭出,衍生出篡改选举、传播假新闻和诬陷造谣等新的应用场景并呈现平民化趋势,应用形式更加复杂多样。浙江大学副教授冯尊磊提出“真实场景下,人脸视频防伪检测工作易受环境因素干扰。例如,光照条件的改变可能使人脸的阴影和高光区域发生变化,使得人脸看起来更暗或更亮。摄像机角度的改变可能导致人脸的形状和特征发生畸变,使得人脸看起来扭曲或失真。此外,背景复杂性的变化也可能导致人脸的边缘模糊或与背景融合,使得人脸看起来不清晰或不成比例。以上这些因素都会对人脸视频的真实性和可信度产生影响,增加人脸视频防伪检测工作识别和检测的困难度”。
深度伪造技术变种更快更多。近十年,深伪技术日趋成熟,生成式 AI 横空出世后,扩散模型(Diffusion Model)解决了 VAEs 的后验分布对齐问题、GANs 的不稳定性、EBMs 的计算量大和 NFs 的网络约束问题,推动 Deepfake 数量不断增加,并逐渐从单一模态向跨模态或多模态演变。东南大学法学院研究员王禄生提出,深度伪造技术本质上是一种“无监督学习”,具有极强的自我适应性,具有快速演化性等特征,这一特征将使得视频造假能力呈现指数级跃升。能力的提升伴随着成本的下降,地下交易市场中攻击道具交易已颇具规模,通常 200 元就能买到一次定点攻击服务。现阶段针对单一人脸视频防伪检测数据集的防伪检测技术的防伪效果虽然较为理想,但在跨数据集防伪效果实验中的泛化性能仍表现出明显的不足。同时,在现实场景下,由于人脸视频伪造方法未知,难以获得伪造方法的具体类型。
(二)防伪大模型的特点
Chain of thought 思维链,防伪大模型拥有前所未有的编码能力,通过编码进行概念延申和推理,充分掌握图片细节所蕴含的内在信息。自 2017 年提出至今,Transformer 模型已经在自然语言处理、计算机视觉等其他领域展现了前所未有的实力,并引发了 ChatGPT 这样的技术突破。基于 transformer 的 BERT 技术向我们证明了一切专家问题本质是编码问题,编码能力的提升直接影响着专家判断的准确性。上海人工智能实验室的学者们与北京航空航天大学、复旦大学、悉尼大学和香港中文大学(深圳)等院校合作研究显示 MLLMs 已经展示出熟练理解图像主要内容的能力,能够基于提出的查询分析图像中的大部分信息。在关于图像输入的因果推理能力的测试中,Gemini Pro 和 GPT-4 在未经过防伪专项增强时,能够对伪造人脸指出其毛发、皮肤、背景等诸多细节问题,如“福尔摩斯”一般,这代表大模型对图片理解能力的显著提升。
Scaling law 规模效应,防伪大模型的鉴伪能力随伪造数据的增加而线性增加,这一趋势目前仍未看到瓶颈。约翰斯·霍普金斯大学的 Jared Kaplan 和 Sam McCandlish 对大模型在交叉熵损失函数中的表现进行研究,表明模型大小、数据集大小和计算量大小与损失呈负相关,大模型防伪的能力随着数据与计算量的增加线性增加、效率更高。2020 年,OpenAI 发表了关于 scaling laws 的关键论文,并在 2022 年 GPT3.0 上证明了超大规模的数据可以产生“知识涌现”现象,如今大模型规模已经突破 100B。防伪大模型具有大模型的一般特点,即数据的有效增长可以促进模型能力的同步提升。随着深度伪造数据的积累和录入,防伪大模型的域外能力在显著增强,这种增强相较于传统专家模型是数以十倍的提升。
(三)防伪大模型可以将复杂问题转变为数据驱动的简单问题
学术界和工业界曾提出涵盖空域、时域、频域等多种维度的传统专家模型检测方法,这些检测方法在特定数据集上取得了一定成功。比如基于空域的典型方法直接从视频帧图像的空域提取特征信息,在特定种类的深度伪造检测任务中发挥了良好的效果;基于时域的典型方法充分利用了频域和时域信息,在人脸伪造视频检测的跨数据集迁移能力方面表现出了一定的优势;基于多任务迁移的方法利用其他取证或视觉任务中已有的方法进行迁移改造,应用到人脸伪造视频的检测任务中,在大规模的唇读任务数据集上进行了预训练,在库内和跨库迁移性方面都表现出了一定指标优势。然而在处理深度伪造的“效果更逼真、场景更复杂、技术变种快”三大难题时,传统专家模型通常需要进行复杂的组件拆分,针对不同的场景设置不同的策略和处置方式。防伪大模型则解构了这一过程,通过海量真实数据为大模型建立了对世界物理知识的认知,通过海量伪造数据构建域外攻击的辨别能力,在固定模型结构的基础上解决已有甚至尚未出现的复杂问题,避免了传统专家模型的“雕花”思路并实现了防伪效果的极大提升。
3.防伪大模型在金融防伪和打击黑产中的技术和应用
深度伪造攻击已成为金融行业面临的主要攻击手段。防御技术的更新速度已经严重制约了金融安全防御体系的建设,零日漏洞(0-day)已经从操作系统、计算机网络下沉到人工智能中,并深度影响着金融行业的健康发展。在新型攻势发起后、防御技术迭代前的时间周期内,机构运行如同“裸奔”。马上消费作为金融行业的领跑者,已将防伪大模型引入日常风控反欺诈管理流程中,呈现如下特点:
迭代周期短
防伪大模型具有模型结构不变的特点,能够实现全自动化算法的迭代。当新的深度伪造方法公布后,系统可以全自动生成攻击数据、评测现有防御能力、执行模型调优任务、测试迭代后模型效果、发布新模型推理服务,大幅缩短迭代周期,整体流程可从 90 天缩短至 1 天时间。马上消费建立的专项攻防实验室“卧底”黑产集市,能够实时追踪深度伪造攻击进展与仿真模拟,大幅缩短了攻击的发现周期。
域外性能强
以“对抗样本攻击”的防御效果为例,防伪大模型可将防伪拦截率从 90.0% 提升到 99.9% 以上。这得益于防伪大模型本身的编码能力可以将未见过的攻击以更“人类”的方式和已知攻击聚类在近似的空间中。马上消费提供了超过 100 种的攻击算法,用以生成大规模伪造数据,大幅拓宽了其域外能力。
可解释性强
防伪大模型可针对攻击数据进行可视化归因分析,具备“描述伪造方式和痕迹”的交互能力,大幅提升模型可解释性和用户体验,实现人机协同的金融防伪新应用模式。得益于跨模态信息的引入,马上消费在防伪大模型的训练过程中,引入了 PB 级的多模态信息,包括海量文本信息、语音信息、图像信息。
除海量的基础数据优势、实时更新的深度伪造算法库外,马上消费还利用超声建立跨模态信息机制有效拦截深度伪造的前置攻击。同时,马上消费建立了业内最大的黑灰产声纹库,数据规模达千万级,打造反黑产“基础设施”。
文章来源:百家号—DeepTech深科技