新闻中心

快速通道FAST TRACK

点击这里给我发消息

公司新闻/NEWS

大家ZAO起来,脸都不要了

2019-09-04 21:12

ZAO这类产品代表的是DeepFakes技术的全面民用化落地,这为多数用户带来了非常有趣的体验,但与此同时,带来的是黑产对这类技术的滥用。

1

本周末,整个互联网行业最火爆的产品,毫无疑问是ZAO,一款主打AI换脸的工具类产品。

一时之间朋友圈里全都是使用ZAO做出的短视频,表情包以及对于ZAO本身的讨论。

ZAO上线的第一时间我就上手在玩儿了,周六就发了与ZAO有关的信息,多家媒体上也能看到我对于ZAO的简短评论。

之所以正式文章今天才出来,是因为我这两天一直在用ZAO试验一些可能性,从进攻的角度,一直玩到周日晚上才差不多结束试验。

可以说我的整个周末,都在ZAO作。

这篇文章我想谈谈,ZAO本身的一些问题,法律与安全问题,以及技术问题。

更想谈谈,ZAO的出现背后所代表的,AI年代我们当前很多理念和规则即将迎来的挑战。

这与我们每一个人的生活都有关。

至于这是好还是坏,我不做结论。

2

先说ZAO的核心技术,其实并不新鲜。

这套换脸的玩法,是基于已开源的DeepFakes,更底层原理基于深度学习模型——生成式对抗网络。

这个技术是近几年无监督学习领域最热门的方向之一,什么都能做,似乎万物都可GAN。

你们不要读错,更不要乱联想。

当然读者不需要特别清楚的知道技术原理,可以简单理解为是一种相对成熟的机器学习理论,类似于万有引力定律。

这个理论引起公众的轰动是因为DeepNude以及DeepFakes两个应用产品。

简单来说,类似于人们基于万有引力定律造出了无重力仓,这东西特别好玩儿,于是人们开始重视万有引力定律。

DeepNude以及DeepFakes,很快就爆火,但同样很快就出现了问题。

前者是基于图片处理,可以实现一键换衣,能换衣自然就能脱衣,很多明星的公开照片被这个软件直接扒光,就是前段时间盛传的一键脱衣。

国内LOL爱好者应该也知道前段时间知名主持人小珏的一张采访图片被扒了衣流传出来,实际上就是用了DeepNude的组件。

后者是基于视频处理,可以实现一键换脸,神奇女侠加尔盖朵以及黑寡妇斯嘉丽约翰逊的脸被很多人直接加到色情片中,毫无违和感。

甚至之前一度非常流行的奥巴马痛骂特朗普以及各种骚操作的视频,也是DeepFakes做的;

还有用DeepFakes把希拉里和特朗普做成夫妻的,把他俩脸坐到一起的,把他俩做到色情片里的,玩法多种多样。

人们的智慧是无限的,只要有工具出来,就一定会给玩出花样来,而且早期的花样一定不够高尚。

由于人们的智慧过于无限,导致就连尺度过大著称的各类神奇网站,都集体封杀了DeepNude以及DeepFakes。

可以随意给人换衣换脸,而且多数人看不出来,这造成的影响,实在是有点大。

别的不说,各种捏造的特朗普视频,就足够让世界经济局势上蹿下跳了。

只要有波动,就有获利者。

3

DeepNude和DeepFakes虽然被封杀了,但是他们把核心技术做了开源。

就像是海贼王直接把one piece直接发给所有人人手一份,就像如来佛把佛经直接挂在百度云上一样。

一下子人人都成了AI换脸专家。

只要稍微懂一点技术的人,都可以使用他们的技术来套层壳来玩儿,ZAO也是诸多衍生APP之一。

ZAO的爆红本身不意外,产品流程设计的确实非常流畅,AI换脸在国内也确实是全新的体验,很好玩儿。

我看到很多媒体文章都在分析ZAO是如何成功的,ZAO的成功能否延续,ZAO下一步要如何运营,ZAO能火多久。

这根本不是重点,这种涉及人脸的产品不火才怪。

真正的重点在于,这类支持使用者随意创造换脸,到底,有没有真正的授权?

有没有侵犯肖像权?如果侵犯了怎么办?责任在谁?

翻看ZAO的隐私协议,挺有趣的。

建议每个人在玩儿ZAO之前,在注册阶段,好好把红色的字读10遍,然后再来考虑。

ZAO没有隐瞒任何东西,他们写的明明白白,清清楚楚。

当你使用ZAO来编辑人脸的时候,不仅仅是把自己的肖像授权给了及其使用,并且,如果你编辑的的人脸,那么需要保证这个是拿到授权的,不然产生的一切后果,要来承担。

这是最重要的东西,可惜大多数人一开始忽略了这个。

4

我用简单的例子来解释一下这段话,同时讲一下ZAO面临的风险。

假如,我把我自己的脸放在ZAO上面了,那么就等于是默认了把自己这张照片授权给了ZAO使用,这张照片以及用这张照片生成的视频,都可以给ZAO使用。

不仅是给了ZAO,同样还给了ZAO的关联公司,这个关联公司的定义是模糊的,也就是,你也不知道ZAO给了谁用,这要这家公司和ZAO存在关联关系,那么这家公司就可以用,你可能都不知道这家公司的存在。

至于拿去干什么用,协议上没有明写,这就留下了一个很大的想象空间。

反正即使拿去卖钱你也管不着,因为协议里是允许ZAO再授权的。

简而言之,就是只要你传了照片,之后就都是ZAO的了。

ZAO自己也意识到这个东西有问题了,所以紧急修改了协议,修改后的版本如下图。

只要用ZAO,你的这张脸,就借给ZAO了。

当然问题不仅仅是这点。

如果你使用了别人的脸,那么更有趣。

按照用户协议,如果你上传了一张吴亦凡的照片,那么这张照片同样也是授权ZAO及其关联公司免费使用的。

简单来说,就是你把吴亦凡借给了ZAO。

如果吴亦凡不干了,要起诉ZAO,那么依据用户协议,ZAO不承担后果,因为,上传者要自己确保自己上传的他人的脸已经得到了授权,如果没有确保的话,那么问题出在上传者。

所以吴亦凡只能起诉你,因为你签的用户协议中保证了自己上传的都是拿到了授权的内容。

ZAO作为一个平台,不负责审查照片是否侵权享受着所有照片的授权及传播红利,但是侵权风险归上传照片用户,这个操作是很有趣的。

并且ZAO自己那些拿来让大家玩的视频素材,很多版权都存在模糊。

ZAO用户大战视觉中国,听起来就很刺激。

5

除了肖像权风险的转嫁,ZAO面临的最大的两个风险,一个是敏感人物,一个是不法用途。

ZAO自己号称是可以过滤掉公众人物,防止用户乱来玩出事儿。

但实际上,不可能100%过滤掉,机器学习和人工智能是厉害,但其识别机制就代表了100%过滤根本不存在。

简单介绍一下机器是如何认识人的。

人是如何区分猫狗的?说白了,就是猫狗具有不同的特征,例如两耳的距离,耳朵的形状,鼻子的面积,眼睛的颜色等等等数百个特征。

人是如何区分不同人的?一个道理,有的人鼻子与整张脸的比例夸张,有的人嘴巴小,有的人有雀斑,有的人耳朵到嘴的距离很短等等等等数百到上千个特征。

机器也是一样,只不过是把这些东西量化了,机器会把人脸打上数千个点,然后把点连成线,只要这些线的总体比值符合一定的相似度,然后对相似度切一刀,例如大于95%,那么就认为是一个人。

所以机器其实不知道你是不是你,机器只是知道你和理论上你的照片的相似度是多少,这就代表着一定存在误判,漏判,这是必然,让人看也会漏看。

这里不存在百分之百。

而且黑产在过人脸这件事情上的经验,已经足够成熟了,想要上传明星或者其他公众人物,并不困难。

我在以前的文章中写过干扰人脸检测,机器认人是通过拆解无数的点,然后比对点与点之间的线。

所以如果在人脸中加入一些干扰的,就可以改变整个线的分布,从而让机器认错人。

这周末做的第一个实验,就是利用照片噪点技术来尝试能否绕过ZAO的所谓公众人物人脸检测。

实际上测下来不困难,可以上传处理过的人脸,这个脸在人眼中看来是一个人,但是在机器眼中不是。

这背后带来的,就是ZAO产品本身存在的巨大风险,一旦有竞争对手或者黑产利用噪点上传了一些特殊的人物做了视频,然后进行传播,这对于ZAO将是毁灭性的打击。

DeepNude和DeepFakes已经有了前车之鉴,ZAO在这方面需要狠下功夫来防御,目前看来是远远不够的。

目前微信已经限制了ZAO的视频直接分享功能,ZAO也不支持直接分享微信,这里面,或多或少就有这样的担忧。

一个失控的人脸替换,是非常可怕的。

不需要我再举例了,大家自己脑补就就想到无数的伦理应用。

6

第二个实验,是使用ZAO处理过的视频,能否通过刷脸支付。

答案是,在APP上基本不可以,因为所有涉及刷脸的APP本身,都有设备验证及SDK加固,但是少数几个型号手机的安卓系统,在Root之后,切换网络后,通过沙盒有能够突破的迹象,如果有更多时间钻研的话,应该是存在可能的。

当然这个其实不属于支付产品问题,这个属于手机系统问题。

不过刷脸支付的核心场景并不是手机APP,而是各大商场的人脸支付,这种情况下不需要接触APP,单纯脸对摄像头,只要用视频让摄像头认为是真人即可,伪造难度要低很多。

这个实验花了一天多的时间,最终结论是在现实场景中的某些情况下可以实现刷脸,虽然通过率比较低,需要对设备和照片做特殊处理,并且使用特定的几个视频模板。

或者直接一点,实验室环境小概率可以绕过,现实环境考虑到人流的因素,很难绕过。

幸亏我和附近超市老板的关系不错,所以他的几个刷脸付款设备被我玩了一天,如果你周日发现杭州某个超市里有个胖子带着一堆神奇的设备一脸便秘地在操作好几台刷脸机器,操作了一整天,请你不要误会他是修机器的。

经过一整天的折腾,大概也知道了如何实现机器刷脸以及防御这种攻击,赶在黑产开始研究前,先介绍如何防御吧。 1.刷脸机器判断是否活人的依据之一是屏幕反光程度及清晰度,但是如果把测试机器的外屏拆掉的话,可以有效降低阈值,所以这一部分的策略需要迭代更新,反光属于必杀,不反光也不代表正常。

当然反光的定义也需要更新,不要把一些人的油性皮肤和秃头反光也给误杀了。

2.增加摄像头的数量以及位置,可以有效增加黑产作案成本,提高失败率。

现阶段刷脸通用的解决方案往往是2到5摄像头小范围并排,如果黑产使用专业的固定工具加定制的4K视网膜屏安卓平板,再配合特定的固定工具控制角度,是足够完全覆盖这几个摄像头的范围的,再配合无反光和高清晰度,这导致辅助摄像头也无法及时识别是设备而非真人。

所以需要增加更多的摄像头位置,甚至安放部分肉眼不可见的摄像头,来防止使用大尺寸设备覆盖摄像头范围。

3.ZAO视频中有少数几个模板符合人脸识别动作要求,这几个模板本身包含人物的几个特定摇头眨眼动作,替换后和真人无异。

所以需要各家机构对于人脸识别的固定动作进行更新,当前多家采用的策略是5选3,5选2,5选1,建议扩充这个库。

4.对于在常驻地以外的刷脸支付,第一次一定要配合手机验证码或者手机APP刷脸。

虽然黑产圈一直有各种过人脸的方法和理论流出,大家也在实时攻防,但过去往往都是骗骗网贷的人脸识别,随着商超刷脸支付的进一步发展,以及DeepFakes这种大杀器的开源,接下来面临的各种盗刷风险是需要所有人都警惕的。

7

最后,我想谈的是,ZAO这类产品代表的是DeepFakes技术的全面民用化落地,这为多数用户带来了非常有趣的体验,但与此同时,带来的是黑产对这类技术的滥用。

DeepFakes的开源,打开了潘多拉的魔盒。

不得不承认的一点是,在应用新技术上面,黑产是远远比大多数人要更努力更用心钻研的,因为一旦成功,有钱拿。

这种无缝替换人脸的技术,在黑产手中可以玩出无数的花样。

例如诈骗,黑产使用这项技术无缝把老人子女的脸融入视频中,不管是生病要钱,还是绑架,还是转账,都很容易骗过来人。

例如冒充公检法,黑产使用这项技术把自己的脸P到一些公开视频中,然后说自己就是某某某,对方一看还真是,就轻易相信。

例如敲诈,黑产使用这项技术把受害人脸加到一些黄色视频中,然后威胁不给钱就群发散布,实际上很多高利贷的催收就喜欢这么玩儿,只不过过去的P图不够震撼。

不说敲诈类黑产,但是无缝换脸技术流入平民手中,带来的新玩法就很多。

随手一个操作,把女友的脸放到色情视频中,到底是不是出轨,如果用这种方法起诉离婚,有没有方法可以破解这个视频是真的假的?

A和B发生冲突,然后A把B的脸融到各种猥琐的地方散布或者直接诬陷,如何才能破解这个视频是真还是假?

用AI去融合明星的脸,危害其实有限,因为大家都知道是假的。

但如果用AI去融合生活中身边人的脸,那么又要如何分辨呢?

尤其是很多人看到视频就先入为主的情况下,造成的后果又有谁来承担呢?

或许今后我们面对每一段视频都要带上一段疑惑,你是你,或者你不是你?

AI年代,我们每个人最大的问题或许会是。

你是谁?