来源：科学网

近日，一款名为“ZAO”的换脸APP引发舆论关注。用户上传照片，就可以把影视剧主角的脸替换成用户自己的脸。在过把“明星瘾”的同时，也让大众关注到“换脸”带来的个人信息泄露风险。

信息时代，“脸面”不仅仅是一个人的名片，刷脸打卡、刷脸登录、刷脸进站、刷脸付款……面部信息成为个人财产保险箱的一把钥匙。而一旦钥匙掌握在别人手中，将会对个人财产安全等构成极大威胁。

为此，《中国科学报》走访了科研院所、人工智能（AI）科技企业，请技术专家解析以刷脸为代表的生物识别技术背后的安全风险，同时进一步探索：应如何设置保障措施，来应对AI技术打开的潘多拉魔盒？

人眼难辨，造假越来越容易

“人工智能带来的安全和隐私问题早已引起国内外的关注，AI换脸只是最近出现的一个新例子而已。”中国科学院院士、清华大学人工智能研究院院长张钹开诚布公地说。

早在20多年前，基于三维模型的AI换脸技术已经走进研究领域，但换脸的效果不尽如人意。近年来，随着生成对抗网络技术的引入，换脸效果大幅提升，人眼已经很难发现换脸痕迹。

换脸的本质是面部生物信息在人工智能领域的应用，此外，人类早已实现指纹、虹膜、掌纹、手形、静脉、笔迹、步态、语音等生物信息的应用。

但是，个人生物信息泄露引发的安全问题从未如此备受关注。谈及原因，清华大学孵化的人工智能公司RealAI(瑞莱智慧)算法科学家萧子豪表示，一方面，近年来大众越来越关注个人隐私问题；另一方面，AI技术发展迅速，技术越来越成熟，效果越来越逼真，操作越来越简单，使得应用领域和场景越来越多。

“以前世界顶尖科研团队才能完成的‘换脸术’，现在寻常人躺在沙发上动动手指就能轻松实现，大大降低了造假成本。” 萧子豪告诉记者。

北京邮电大学模式识别实验室教授邓伟洪认为，“ZAO”收集的人脸图像和人脸生成技术如果被滥用，将会带来极大的风险。

此前，鉴于对个人隐私获取的担忧，美国旧金山、萨默维尔市先后禁止人脸识别的应用。

过度攫取用户信息，滥用风险加剧

“ZAO”引发关注的另外一个重要原因是，该应用中含有涉及个人隐私保护的“霸王条款”。

该APP最初的用户协议规定，用户自行上传的内容，一旦发布，平台即默许已获得用户和影片原主人公的肖像授权，且ZAO及其关联公司有权在全球范围内“完全免费、不可撤销、永久、可转授权和可再许可”地使用、修改、编辑这些内容素材。用户如果不同意协议，便无法使用该APP。

该规定很快引发公众对个人信息安全及隐私保护的质疑。

与此同时，相关生物识别技术应用需要用户上传越来越多的个人信息。

以“ZAO”为例，该APP要求用户提供个人高清图片外，还要求上传点头、眨眼等活体检测的视频。

萧子豪对记者说，软件应用开发方获取大量的个人生物信息后，能够丰富训练数据，用以模型优化，可大大提高应用精度和准确率，进而增强用户体验，但这也意味着个人信息的完全暴露。

今年8月，中国信息通信研究院发布的《人工智能数据安全白皮书》显示，AI应用可采集的人脸、指纹、虹膜等信息具有强个人属性，且具有唯一性。个人数据的过度采集，将加剧隐私泄露风险。

针对 “ZAO”App用户隐私协议存在不规范行为、存在数据泄露风险等网络数据安全问题，9月3日，工业和信息化部网络安全管理局对北京陌陌科技有限公司（以下简称陌陌科技）相关负责人进行了问询约谈。

该局要求陌陌科技要“组织开展自查整改，依法依规收集使用用户个人信息”，同时责令其“规范协议条款，强化网络数据和用户个人信息安全保护”。

换脸或能突破支付，数据管理仅靠自律？

ZAO引发大量关注之后，“支付宝安全中心”8月31日通过官方渠道发布声明称，不管换脸有多逼真，都无法突破刷脸支付。

支付宝安全中心解释说，刷脸支付采用的是3D人脸识别技术，在进行人脸识别前，会通过软硬件结合的方式进行检测，来判断采集到的人脸是否照片、视频或者模拟生成的，能有效避免各种人脸伪造带来的身份冒用情况。

话虽如此，但考虑到刷脸支付还没有得到大规模应用，潜在的安全风险可能还并未浮出水面。

邓伟洪也告诉记者，尽管目前还没有利用个人面部信息突破刷脸支付等功能的案例，但这并不代表刷脸功能的绝对安全。并且，造假生成技术不断升级，未来存在突破现有刷脸支付功能的可能性。

他介绍了一种可能性：AI换脸软件收集了大量人脸图像，这些信息如果被滥用，技术上可以准确地恢复出用户的三维面部信息，结合三维打印模型和面具，足够对刷脸支付等系统进行攻击。

邓伟洪提出，管理部门和学术界应该重视这些风险问题，并制定或研发出效的防御策略。

应如何保障个人生物信息安全？张钹表示，至少应该加强管理和约束，包括数据的管理和合理使用。

他举例，最近一些公司的语音合成技术已经达到足可乱真的水平，这与“换脸”技术一样很容易被滥用。从这点出发，这些公司已经制定了自律规则，对这类AI技术加以限制使用，以保障用户个人生物信息的安全。

“目前，个人生物信息获取多少，又该如何使用，缺乏行业标准。如何制定规则有效管控个人生物信息的使用是当务之急。”张钹告诉《中国科学报》。

今年4月，清华大学成立了战略与安全研究中心，开展国际战略与安全相关的学术研究和政策研究工作。其中，AI安全政策的制定正是该中心的一项重要内容。

“真相”“假脸”难辨，防反之争或将旷日持久

目前有没有技术手段，能够鉴别哪个是“真相”、哪个又是“假脸”呢？

答案是既肯定又否定。邓伟洪告诉记者，由于原始人脸图像特征已经完全被覆盖，目前没有特别可靠的技术可以反推出原始头像。但计算机视觉技术比人眼更精密，可以有效地检测出因为换脸留下的图像痕迹。

他举例说，去年美国国防部发布了一款AI侦测工具，对换脸的检测精度可达到99%以上。加州大学伯克利分校的科研人员也提出了通过特定人物的面部行为细节，准确地“揪出”模仿各种名人的假视频。

邓伟洪所在的科研团队也据此进行了初步的实验。实验结果显示，假视频的检测率可达到98%以上。

不过，在见识了美国国防部研发的“反AI变脸”刑侦工具后，达特茅斯大学的数字取证专家Hany Farid 认为，目前的一个关键问题是，机器学习系统可以接受更先进的训练，然后超越当前的反变脸工具。

这也就意味着，这些“以AI攻AI”的反变脸工具仅仅是个开始——AI视频伪造者和数字刑侦人员之间或将展开一场长期持久的AI军备竞赛。

技术滥用频频，何以解忧引人深思

引发个人信息安全及隐私保护问题的AI技术，不只有换脸。

近日，一组课堂上学生行为分析的视频截图在网上引发热议。照片中，摄像头通过计算机视觉算法获取学生的课堂表现，并以标签的形式计算出“听讲、阅读、举手、趴桌子、玩手机、睡觉”等动作次数。截图显示该技术方案来自旷视科技。

尽管旷视科技随即在9月3日回应称此系该公司“技术场景化概念演示”，目前“仅停留在技术展示阶段，尚未落地应用”，也难免教育界人士直呼，智慧课堂行为分析已变成“全景敞视监狱”。

AI技术发展至今，以“赋能”之姿已在安防、医疗、教育、工业等各行各业带来了巨大变化，甚至扮演着颠覆行业的角色。然而，面对一波未平一波又起的技术滥用问题，AI应用背后的个人隐私保护问题、信息安全问题，如何规范使用AI技术，的确发人深思。

美国一些城市以及欧盟的做法是严字当头，甚至采取禁止法案。正如前文提及，在旧金山，政府机构擅自使用人脸识别技术、“靠人脸识别技术获得某些信息”都是被禁止的违法行为；在瑞典，一所高中因试验用人脸识别系统统计学生出勤率，而被瑞典数据监管机构处以20 万瑞典克朗（约合14.8 万元）的罚款，理由是“数据的所有者及数据的管理者之间存在明显的信息不对称”。

“围绕个人隐私、群体安全问题，对于人脸识别等技术的使用需要一个平衡。” 商汤科技联合创始人徐冰在近期的一次采访中对记者说：“这个平衡，就是一个好的规则规范——不仅要去规范人脸识别技术企业，还要去规范使用这些技术的政府。”

“实际上，人脸识别技术所创造的价值是被认可的。”徐冰不希望诸如人脸识别这样的新技术只是简单粗暴地被一禁了之：“作为发明和使用新技术的人们，都要去认真思考这些问题，并且一起努力促使新规范的形成，而不是直接禁止掉。”

《崛起的超级智能》一书主要阐述当今天人类为人工智能的春天到来而兴奋，为人工智能是否超越人类而恐慌的时候，一个更为庞大、远超人类预期的智能形态正在崛起，种种迹象表明50年来，互联网正在从网状结构进化成为类脑模型，数十亿人类智慧与数百亿机器智能通过互联网大脑结构，正在形成自然界前所未有的超级智能形式。这个新的超级智能的崛起正在对人类的科技，产业、经济，军事，国家竞争产生重要而深远的影响。

作者：刘锋   推荐专家：张亚勤、刘慈欣、周鸿祎、王飞跃、约翰、翰兹

未来智能实验室是人工智能学家与科学院相关机构联合成立的人工智能，互联网和脑科学交叉研究机构。

未来智能实验室的主要工作包括：建立AI智能系统智商评测体系，开展世界人工智能智商评测；开展互联网（城市）云脑研究计划，构建互联网（城市）云脑技术和企业图谱，为提升企业，行业与城市的智能水平服务。

  如果您对实验室的研究感兴趣，欢迎加入未来智能实验室线上平台。扫描以下二维码或点击本文左下角“阅读原文”