造假不雅視頻PK“保護(hù)老實(shí)人”的原諒寶：誰(shuí)贏？

有兩件事編輯也不知道怎么評(píng)論，你們先看看吧。

第一件事是，自從 AI 換臉神器 ?Deepfake 走紅后， 有一種聲音是，如果你討厭一個(gè)人，就收集他的照片，用 Deepfake 技術(shù)與色情片演員換臉，偽造色情視頻傳播，印度記者 Rana Ayyub 就因?yàn)榻衣读擞《裙偶乇﹣y中官員的黑幕而被“色情復(fù)仇”。

第二件事是，微博用戶@將記憶深埋表示，自己通過半年時(shí)間，比對(duì)了國(guó)內(nèi)外色情網(wǎng)站和社交媒體的數(shù)據(jù)，在全球范圍內(nèi)成功識(shí)別了 10 多萬從事不可描述行業(yè)的小姐姐。查詢系統(tǒng)可以對(duì)美顏、 Deepfake 換臉等有效對(duì)抗，并加上步態(tài)分析、聲紋識(shí)別和其他身體特征，識(shí)別率達(dá)到 99%。

該微博用戶后來在網(wǎng)友的聲討下表示不會(huì)開放 API 或查詢頁(yè)面，也不公布論文或開源算法，并刪除了整個(gè)項(xiàng)目和數(shù)據(jù)庫(kù)。

這兩起事件放在一起看，有點(diǎn)細(xì)思恐極。

雖然這個(gè)被網(wǎng)友戲稱為“原諒寶”的“準(zhǔn)商業(yè)產(chǎn)品”已經(jīng)涼涼，也有人辟謠稱這種產(chǎn)品其實(shí)無法達(dá)到比對(duì)的準(zhǔn)確率—;—;99%（視頻）和100%（聲紋），但是雷鋒網(wǎng)宅客頻道還是關(guān)心兩個(gè)問題。

第一，這種“產(chǎn)品”打造的門檻高嗎？

第二，“原諒寶”真的可以對(duì)抗 Deepfake 嗎？

說起來這個(gè)原諒寶的運(yùn)行路徑很簡(jiǎn)單，一般先用爬蟲不停發(fā)現(xiàn)色情網(wǎng)站上的新鏈接，對(duì)公開圖片和視頻進(jìn)行爬取。然后進(jìn)行人臉檢測(cè)，抽取其中帶有人臉的圖片，抽取人臉相關(guān)的特征，并建立索引。如果是視頻的話，則需要抽取關(guān)鍵幀再進(jìn)行特征抽取和索引。在用戶提交圖片進(jìn)行搜索時(shí)，對(duì)所提交的圖片同樣進(jìn)行人臉檢測(cè)、特征抽取，將特征在預(yù)先建立的索引中進(jìn)行搜索排序。

于是，雷鋒網(wǎng)(公眾號(hào)：雷鋒網(wǎng))編輯找到了兩位關(guān)鍵專家：某大廠 AI 安全專家 Dou 以及提供反爬蟲業(yè)務(wù)的邦盛科技公司網(wǎng)絡(luò)自動(dòng)化攻防專家許俊杰。

首先，上述新浪微博用戶爬到的“100 多 TB 的數(shù)據(jù)”獲取似乎真的很容易。簡(jiǎn)單來說，“只要你公開持有，我就能爬到”。

許俊杰說，這些數(shù)據(jù)應(yīng)該就是爬網(wǎng)頁(yè)得到，只要人可以看到，爬蟲就能爬到，特別是那些頁(yè)面是簡(jiǎn)單的分頁(yè)，直接一頁(yè)頁(yè)爬取，非常方便。但是，對(duì)于數(shù)據(jù)庫(kù)，一般人是爬不到的，除非攻擊者利用黑客手段攻破了網(wǎng)站服務(wù)器。

Dou 表示，獲取數(shù)據(jù)后，比對(duì)圖片、視頻很簡(jiǎn)單，目前開源的 OpenCV 都可以勝任這個(gè)工作。

有人提出，有很多偷拍的色情視頻比較模糊，識(shí)別起來有點(diǎn)困難。

確實(shí)，不僅是視頻，對(duì)于模糊的照片，人臉識(shí)別軟件也會(huì)遭遇困難。但是在 Dou 看來，該微博用戶提到的目標(biāo)網(wǎng)站中的色情視頻質(zhì)量其實(shí)尚可，而且人臉識(shí)別并比對(duì)時(shí)，主流算法是被人臉提取特征后形成一百到幾百維的向量，“圖像質(zhì)量不用太好”。

相對(duì)而言，識(shí)別換臉則復(fù)雜一些，需要積累數(shù)據(jù)，訓(xùn)練模型。

這就來到了第二個(gè)問題，原諒寶真的可以對(duì)抗 Deepfake 嗎？

畢竟 Deepfake 換臉后，相似度 86% 的假尼古拉斯凱奇和 70.5% 的假美國(guó)總統(tǒng)居然都騙過了亞馬遜和微軟的人臉識(shí)別服務(wù)。

簡(jiǎn)單粗暴地先下一個(gè)結(jié)論：“原諒寶”有多少功力不好說，但 Deepfake 的假視頻確實(shí)可以被揪出來。

5 月底，在那場(chǎng)盛大的世界著名極客大會(huì)DEF CON CHINA 1.0 上，一名來自百度的安全研究員Wangyang介紹了 AI 換臉檢測(cè)的方法。

先來看看 Deepfake 的 AI 換臉視頻是怎樣制作的？

出人意料的是，它并不是利用 A 圖像整體替換 B 圖像，而是將視頻抽取每一幀，找到目標(biāo)人臉換臉，再放回到人臉原來的位置，它所偽造的人臉是人臉的中心區(qū)域。

Deepfake 有兩組自動(dòng)編碼器，每組含有一個(gè)編碼器和一個(gè)解碼器，自動(dòng)編碼器會(huì)將圖片降維表示，解碼器會(huì)對(duì)圖片進(jìn)行解碼，恢復(fù)到原圖。在訓(xùn)練過程中，需要保持輸入的圖片和輸出的圖片差異盡量小。這兩組編碼器分別對(duì)兩個(gè)人進(jìn)行編碼和解碼，這兩組自動(dòng)編碼器的編碼器共享權(quán)重。

“在訓(xùn)練過程中，我們需要這兩個(gè)人的多張圖片分別訓(xùn)練兩組編碼器。這樣在轉(zhuǎn)換時(shí)，A 人臉可以通過B 的編碼器還原成 B 人臉，同樣，B 人臉也可以被解碼成 A 人臉。在轉(zhuǎn)換的過程中，先使用人臉檢測(cè)系統(tǒng)找到對(duì)應(yīng)的人臉，輸入到編碼器，然后通過另一組解碼器得到偽造的人臉，再放回原圖，然后進(jìn)行融合?！盬angyang 說。

研究人員提出了兩種檢測(cè)方法。

第一種檢測(cè)基于卷積神經(jīng)網(wǎng)絡(luò)（CNN）達(dá)成。通過 CNN 分類是目前進(jìn)行圖片分類的一種主流方式，研究人員使用了一種淺層的 CNN，試圖讓它抓住比較低層次的圖像特征。目前來看，Deepfake 產(chǎn)生的假臉會(huì)有一些容易被發(fā)現(xiàn)的痕跡，比如邊緣生硬，視頻中人臉會(huì)有抖動(dòng)、人臉扭曲、顏色不均等。

利用人臉檢測(cè)器找到人臉的核心區(qū)域，然后進(jìn)行外延，這樣輸入的模型就包含了融合邊緣的信息，一辯知真假。

Wangyang 稱：“我們的數(shù)據(jù)集是開源的，從視頻中提取了六萬多張假臉圖片和六萬多張真臉圖片，圖片質(zhì)量參差不齊。用人臉檢測(cè)找到人臉的核心區(qū)域之后，可以得到 1.5 倍的人臉框圖。訓(xùn)練時(shí)，我們還進(jìn)行了數(shù)據(jù)增強(qiáng)，將它進(jìn)行縮放等，識(shí)別準(zhǔn)確率能達(dá)到 99%，真臉很少會(huì)被識(shí)別成假臉?！?/p>

第二種方法則基于人臉識(shí)別模型識(shí)別。

FaceNet 是目前是最流行的開源人臉識(shí)別框架之一。它是一個(gè)典型的深度 CNN，F(xiàn)aceNet 會(huì)對(duì)輸入的人臉進(jìn)行映射，把輸入圖片映射為 512 維的向量。FaceNet 在進(jìn)行兩張人臉比對(duì)時(shí)，實(shí)際上是計(jì)算這兩個(gè)人臉對(duì)應(yīng)向量的距離，比如數(shù)值越少，這兩張臉越相似。

這個(gè)方法使用的數(shù)據(jù)集和剛才介紹的方法類似，區(qū)別在于，研究人員使用的圖片僅是人臉的核心區(qū)域。通過 FaceNet 提取的向量作為訓(xùn)練模型的特征，用 SVM 作為二分類器，F(xiàn)aceNet 作為特征提取器，“這種利用更高層次的抽象人臉比對(duì)的方法準(zhǔn)確率能達(dá)到 94%”。