我收到一张自己的裸照,却实在想不起来在哪拍的了。你被宋小宝换脸王嘉尔的视频逗得咯咯笑,合上电脑,打开抖音。今晨,肃撞上修路,致9死亡,一则黑底黄字的新闻蹦出来,语气严肃,时间、地点、官方通报的话语都一丝不苟。人生多艰啊,你感叹了声。这时,微信第二栏的小人图标浮出一个红点。好友申请来自你正在巴结的一位领导,公司有个大项目正等着他发话。他怎么会加我?
你将信将疑的通过,对方立刻一个视频通话打了过来,那张电视里见过好多次的脸正对着你,告诉你工程可以批,只是需要走一笔对公账户的保证金。领导的语气沉稳,不怒自威,摄像头那边的你点头哈腰,不敢怠慢分毫。
挂掉电话,邮箱收到老板的邮件,跟你说:项目批了,快给领导打保证金,立刻!马上!语气、用词、甚至常用的错别字都和平时只能在开大会时瞄一眼的老板一模一样。
你更加疑惑,作为一个刚入职没两年的公司小底层,没理由这两位亲自来找你啊。你一边疑惑,一边不敢怠慢地打开银行app,犹豫着要不要打个电话给上级确定下这个事时,许久没收到过一条活人信息的短信信箱传来通知。一个陌生号码,你打开,眼睛瞬间瞪大。你的裸照。是的,一张看起来像酒店摄像头偷拍,像素极低,但刚好能看清楚你脸部的,裸照。配文是:联系186xxxxxxxx删除照片。
关键是,你实在想不起什么时候去的酒店啊。
快快冷静下来,这一切都过于巧合。你开始上网搜索,想看其他人是否有类似遭遇。一份来自英国《犯罪科学》杂志的文章出现在搜索页第一栏,这个由计算机科学和警务领域顶尖专家出具的报告称:音频/视频模仿、定制化网络钓鱼、人工智能编写的假新闻是AI可能引发的犯罪中,威胁程度最高的三个类别。与传统的诈骗手段相比,由AI助力的诈骗更有针对性,并且难以分辨。
它不像以往的电信诈骗那样,只能模糊扮演“某派出所工作人员”,而是可以通过生成图像和声响,以你认识的具体某人的形象出现。就像那张酒店里的裸照一样,它无中生有,却也让你找不出破绽。
这来自生成式AI本身的特性。目前用于AI诈骗的工具大多为GAN(生成对抗网络)模型,它采取让生成模型和判别模型互相博弈的方法,其中生成模型负责生成图片/文字/视频/音频,而判别模型负责判定这些数据是来源真实世界还是计算机生成。当生成模型顺利骗过判别模型,达到以假乱真的地步时,这个GAN模型才算成功——这根本就是个为“造假”而生的技术。
更可怕的是,制作一个虚假的你是如此简单。
视频换脸、生成真人音频或图片,生成模仿你特点的文字,这些工具都可直接从网络获得,目前大多免费。四五年前,你还需要提供一堆素材,但现在,合成你的声响,只需提供10个字的音频片段,你的样貌,10张照片即可。这太容易了,你在抖音上发布的一则视频,其中包含的声响和脸部信息,就足够生成另一个你。
更别说你在朋友圈、小红书、微博留下的痕迹——你可能还玩了那个上传20张照片的AI图片小程序,那些照片量足够再造一个360度无死角的你。
你搜到更多“AI换脸”的诈骗案例,包头有人接到换脸成其朋友的微信视频,10分钟内被骗430万;安徽有人接到“朋友”在开会的视频,9秒被骗245万;你还知道了“撞上修路致9死亡”是一则由ChatGPT编写的假新闻,一家在深圳的公司通过不同的自媒体账号分发这些消息,希望获取流量赚钱。但你还是将信将疑,你收到的那些照片视频和邮件都太真实,万一是真的呢?这不是你的错。
《犯罪科学》的报告指出,这三类诈骗危险性高的最重要原因,就因为它挑战着人类最底层的行为逻辑——眼见为实。
“唯一有效的防御是改变公民的行为,比如普遍不再信任视觉证据”,报告写道。难道除了否认自己几十年来的底层认知,就没有别的办法对付AI诈骗了么?当然不会,打败魔法的还得是魔法。为了检测这些AI生成的伪造信息,一个思路是同样使用AI模型来学习区分真实和伪造信息,让AI检测AI。
AI生成的信息有其破绽,它依旧模仿不好一些基本的物理和生物特征。以最能让人放松警惕的视频为例,它的特点是时空连续,通过这个特性,分析帧与帧之间的生物连贯性,如眨眼、呼吸的频率是否自然,可以分辨出一些视频是否为生成的线索。
此外,也有一些人采取更细致的生物特性。比如当血液流经我们的身体时,我们的血管会以非常微妙的方式改变颜色,这种改变可以通过PPG(光电容积脉搏波描记法)捕捉到。
英特尔发布的FakeCatcher便通过训练AI识别脸部的PPG信号,来判断视频中的人物是真实拍摄还是生成——因为任何生成操作都会打乱视频空间、光谱和时间的相关性,并因此破坏人物的PPG信号。除了看血,也看肌肉。自然运动下的面部结构与伪造出来的不同,用算法将视频的运动放大,再让AI捕捉其中不自然的因素。英特尔号称这种方式识别出假视频的准确率可达97%。
文字和声音的检测也可以从分辨生物特征是否自然的思路出发。比如文字上人类倾向于做出更多难以预测到的词汇选择,在句子长度上的波动更大,也更倾向于用短句,最近很火的检测文本是否由AI生成的GPTZero便在用这个思路分辨。声音则可以通过分析语音的频谱、音高变化、语调变化、和一些频谱细节上来判断。
佛罗里达大学的研究者便开发了一个模拟人类声道的系统,数值化声音产生通道沿途各种距离的横截面积,当听到一段音频时,AI通过判断该发声机理在生物学上是否合理,来检测音频是否为生成。
生成内容的模型和工具还有特定的“指纹”。比如由于感光传感器的缺陷,数码相机产出的图像会带有PRNU(光响应非均匀性)噪声,它可以通过一些手段减少,但不能完全消除。
因为每个数字相机的PRNU都不相同,它便被视为数字图像的“指纹”。而面部信息被篡改的图像,或是生成的图像,PRNU信息会不连贯甚至不存在,研究者便可以训练AI通过辨认该“指纹”来判断图像是否虚假。GAN模型也有“指纹”,比如在颜色级别上出现偏差,图片的纹理出现重复,图片噪声的分布更加规律而不是像真实图片那样随机等。这些偏差特征人眼难以分辨,但AI可以。
更关键的是,GAN的架构,使用的数据集,随机初始化的种子都会影响GAN的指纹,因此可以通过这些特征反向推断出作品是由哪个具体的模型生成的。但这只在模型和训练数据都公开的情况下才可行,如果有人用私有数据训练一个没人知道架构的GAN,模型溯源便难以做到。如果你不想用这些技术手段,这还有一个AI土办法。
你可以给麦觉理大学网络安全中心的达利·卡法尔教授写一封邮件,告诉他你深受电话诈骗之苦,他可能会给你提供他们最新的多语种聊天机器人Apate。这款机器人的作用就是装成受害者和骗子聊天,让骗子把时间花在它身上,就没有时间去真的骗人人了。
可惜的是,因为检测准确率太低,OpenAI刚在上个月关闭了他们的AI文本检测工具,你少了一个可用的工具。检测AI生成的文本其实很难。
文字不像图像或视频,有几百万像素和时间线连贯的帧来显示破绽,生成出来的文本可以很简短,没有足够的信息量给AI去分辨,而且不像图片或视频,相邻像素的颜色变化有一定规律,文字是离散的,这更加大了检测难度。但这也不意味着其他信息类别的检测就容易,今天的AI生成作品正越来越精细和自然,留给检测类AI识别的破绽越来越少。
不仅如此,还有对抗样本(一种通过指定算法处理的内容,通过在原始样本加入部分扰动,进而使目标模型出错)来扰乱检测类AI的识别,进一步加大检测难度。正因为此,目前流行的解决方法是呼吁生成式模型自觉给生成内容加上标识,OpenAI、Alphabet和Meta Platform等人工智能公司已表示会给生成的内容标注水印等措施,谷歌和必应也会标注搜索结果中来自AI生成的内容,但这还远远不够。
而对于普通人来说,面对难以辨别AI生成内容,除了学会借助这些AI检测工具,还是可以回到最简朴的那套方法——提高警惕,保持怀疑,多核实,掏钱前找其他人多问一嘴。AI越来越强大,但死守住钱包的心可以帮你逃过一劫。