基于生成对抗网络人脸生成技术信息安全风险研究

◆赵 鹏 白国柱

基于生成对抗网络人脸生成技术信息安全风险研究

◆赵 鹏 白国柱

（国家计算机网络与信息安全管理中心陕西分中心 陕西 710075）

针对基于生成对抗网络人脸生成技术发展迅速、生成效果越来越逼真可信的现状，本文对该技术的基本原理、衍生模型和已有应用进行分析和研究，发现该技术在国家公共安全、新闻舆论动员、企业经济运行、生物认证防护、社会伦理道德等方面存在重大信息安全风险。本文立足我国科技公共治理体制、机制存在不足的具体国情，从法律建设、行业管理、技术引导、宣传教育等方面给出了对策建议。

成对抗网络；衍生模型；人脸生成；信息安全风险评估

生成对抗网络（Generative Adversarial Network，GAN）是2014年由Goodfellow等人[1]提出的一种生成式深度学习模型，该模型提出后很快成为了图像和视觉领域热点研究方向之一。应用GAN技术的Deepfakes在境外社交媒体、网络论坛上大肆传播，引起了极大争议。国内“将朱茵的黄蓉换成杨幂的脸”话题也曾登上微博热搜，浏览量更是达到1.2亿次。2019年初，NVIDIA 公司在Github上开源了改进的GAN变体：Style-GAN 模型[2]。该模型生成的人脸具备随机细节（如雀斑、头发），仅凭肉眼已经无法分辨真伪。随着基于GAN的人脸生成技术的不断发展，其潜在的政治、舆论、伦理、隐私等信息安全风险也获得越来越多人的关注[3]。

1 GAN 人脸生成技术原理及现状

1.1 基本原理

伪造人脸的产生依赖于神经网络和GAN，神经网络反映了人脑的工作原理，而GAN则使生成的人脸更加真实。GAN的核心思想来源于博弈论中的二人零和博弈[4]，Goodfellow等通过两个神经网络进行对抗，来改善生成图像的品质。图1给出了GAN的基本结构，GAN 模型由一个生成器（Generator）和一个判别器（Discriminator）组成。

图1 GAN的基本结构和工作流程

生成器的工作是创建新的、伪造的人脸数据，试图复制被提供的真实人脸数据的分布。随后，真实数据集和新创建的伪造数据都被输入第二个神经网络：判别器。判别器的工作很简单：判断数据集中哪些图像（包含伪造人脸）是真实的。如果判别器能够识别出生成人脸，那么生成器就可以“学习”判别器是如何判断伪造数据，并纠正所犯的错误。随着这个过程的每一次迭代，生成的伪造人脸图像变得越来越难以发现，最终判别网络不再能够区分出生成人脸图像和真实人脸图像之间的区别[1]。

1.2 衍生模型研究

随着GAN研究的深入，相关的衍生模型多达上百种。表1按照提出的时间顺序给出了与人脸生成相关的经典衍生模型。这些模型的创新点包括模型结构改进、理论扩展及应用等，生成图像效果也更逼近真实图像。表中2018年提出的SAGAN模型在 ImageNet[5]的128×128分辨率图像生成上的Inception Score（IS）[6]达到52分[7]，BigGAN模型在SAGAN的基础上又将IS提高了100分，达到166分，而真实图像IS得分为233分[8]。

表1 衍生模型分析表

1.3 已有应用分析

GAN 衍生模型研究不断进步的同时，基于 GAN 人脸生成技术应用也在 Github 等开源社区中大量涌现，如Faceapp、Faceswap、Deepfacelab、Openfaceswap、Deepnude 等。这些应用不仅开源了代码，而且大部分都提供了一键式操作的图形界面，使普通用户也能方便的合成人脸，极大地降低了GAN技术的使用门槛。详细情况如表2所示。

2 信息安全风险分析

合成人脸能无中生有，与GAN算法的结合更极大地提高了其逼真度、可信度，一旦进入数据高度开放流动的互联网领域，深度伪造人脸信息的影响力瞬间能被成千万倍放大，负面作用不得不引起重视，主要体现在以下五方面：

一是国家安全、公共安全受到威胁[3-15]。基于GAN人脸生成技术存在成为虚假信息战争最新武器的可能，图2为网络上广泛传播的美国总统特朗普与前总统奥巴马的“换脸”视频截图。它可以让虚假的信息以高度可信的方式呈现给社会公众，从而操纵民众的情绪反应，引发社会广泛的不信任。它也很可能被国内外竞争对手利用，作为诋毁国内政党、煽动恐怖、暴力活动、挑拨社会内部矛盾的工具。

图2 奥巴马与特朗普“换脸”

二是新闻媒体行业社会信任衰退。一方面人脸生成技术会加剧社会公众对媒体、记者的不信任，同时难以证伪的报道会使记者质疑有关真相证据的真实性，从而阻碍该证据的呈现和报道。最终，虚假信息会掩盖并代替真相，造成“信任衰退效应”。此外，公开该项技术可能令其成为说谎者摆脱质疑的工具－对于不利于自己的报道，任何人都可以宣称是伪造的，从而达到混淆公众视听的目的。

三是企业信誉和形象受损。人脸生成技术可以利用企业负责人的公开谈话视频，篡改表情及谈话内容，散播虚假信息，让社会公众发生错误认识，直接影响公司的信誉和形象，造成无可挽回的经济损失。例如在企业 IPO 前一晚，一段包含公司 CEO 伪造人脸的视频公开宣布公司破产，由于市场反馈比当事人澄清的速度更快更及时，将会对企业造成重大经济损失。

四是人脸生物认证系统安保能力经受冲击。每个人都有独一无二的脸、指纹和虹膜等，正是这种唯一性，让大家认为生物认证是安全的。然而研究表明，当前基于最优的 VGG 和 Facenet 神经网络的人脸识别系统无法抵御生成人脸的“攻击”，这两个模型在高质量视频上的误识率分别为85.62%和95.00%[16]，而基于 BiGAN、Style-GAN 等改进后的换脸技术将进一步加重这一挑战，侵蚀社会信任度，冲击金融、通信等行业的生物认证系统的安全防护能力。

五是侵犯个人隐私引发伦理争议[17-18]。该技术能将一些公众人物的脸拼接到色情明星的身体上，伪造逼真的色情场景，如图3所示。这些虚假色情视频一经传播，受害人的名誉将严重受损。上述行为已经涉嫌侵犯他人隐私和肖像权，构成违法犯罪。此外，有关网络骚扰的研究发现，这种现象越来越多发生在弱势群体身上，人脸生成技术让污名化女性、“色情报复”成为可能[19]。

图3 换脸生成的盖尔·加朵色情图片

3 结语

长期以来，我国科技发展处于“跟跑”状态，当科学研究和产业应用方面遇到的社会、法律和伦理问题，可以学习借鉴国际经验，不走或少走“弯路”[20]。然而，基于GAN人脸生成技术对全世界来说都是一个新事物，在治理方面没有现成的经验。从“跟着学”到“带头做”是一个巨大的角色转变。其次，虽然近年来我国在人工智能、大数据、互联网+等领域做了很多行业监管探索，但科技公共治理体制机制仍存在诸多不足，突出表现在：一是新技术新应用新业态上下游产业链有关主体责任划分仍然缺乏明确、详细的法律规定；二是行业监管体系缺乏顶层设计，行业监管方法、手段不健全，存在管理空窗期；三是人工智能等前瞻技术储备不足，反制工具开发不够，相关事态应急处置机制尚未建立。

鉴于基于GAN人脸生成技术发展现状以及我国的具体国情，提出以下建议：

一是法律建设层面，立法机构要加快制定与人脸生成应用相关的民事与刑事责任确认、隐私和产权保护、信息安全利用等法律法规。建立追溯和问责制度，明确生成人脸的创作者、传播者、网络社交平台等主体的相关权利、义务和责任。严厉打击利用生成人脸实施的各种违法犯罪活动，确保基于 GAN 人脸生成技术整个生命周期的安全可控。

二是行业管理层面，监管机构要全方位监测风险、引导发展和应对危机。构建动态的人脸生成技术评估评价机制，对特定应用建立安全审查制度和定期检测评估制度。开展相关科学和伦理等问题研究，建立多层次的生成人脸伦理框架，引导企业、学界和公众等多方主体参与治理。制定由生成人脸而引发政治、舆论、公共安全等突发事件应急方案。

三是技术引导层面，鼓励开发多样化的检测、对抗生成人脸技术工具箱。充分借鉴国际人脸生成技术治理方法和工具的基础上，围绕人脸数据保护、生物认证升级和检测算法实现等人脸生成技术治理的关键问题，加大科研经费投入和人才培养，研发适合我国制度环境和社会基础的系列对抗工具。

四是宣传教育层面，对互联网企业和社会公众进行针对性的宣传教育，使其认识到传播此类不良信息造成的影响和危害，提高企业和社会公众辨别不良信息的能力。

[1]Goodfellow I，Pouget-Abadie J，Mirza M，et al. Generative adversarial nets[C]//Advances in neural information processing systems. 2014：2672-2680.

[2]Karras T，Laine S，Aila T. A style-based generator architecture for generative adversarial networks[C]//Proceedings of the IEEE Conference on Computer Vision and Pattern Recognition. 2019：4401-4410.

[3]Chesney R，Citron D K. Deep fakes：a looming challenge for privacy，democracy，and national security[J].2018.

[4]俞建.博弈论与非线性分析[M].北京：科学出版社， 2008.

[5]Deng J，Dong W，Socher R，et al. Imagenet： A large-scale hierarchical image database[C]//2009 IEEE conference on computer vision and pattern recognition. IEEE. 2009. 248-255.

[6]Salimans T，Goodfellow I，Zaremba W，et al. Improved techniques for training gans[C]//Advances in neural information processing systems. 2016：2234-2242.

[7]Zhang H，Goodfellow I，Metaxas D，et al. Self-attention generative adversarial networks[J]. 2018，arXiv preprint arXiv：1805.08318.

[8]Brock A，Donahue J，Simonyan K. Large scale gan training for high fidelity natural image synthesis[J].2018，arXiv preprint arXiv：1809.11096.

[9]Mirza M，Osindero S. Conditional generative adversarial nets[J]. 2014，arXiv preprint arXiv：1411-1784.

[10]Denton E L，Chintala S，Fergus R. Deep generativeimage models using a laplacian pyramid of adversarial networks[C]//Advances in neural information processing systems. 2015：1486-1494.

[11]Radford A，Metz L，Chintala S. Unsupervised representation learning with deep convolutional generative adversarial networks[J]. 2015，arXiv preprint arXiv：1511.06434.

[12]Liu M Y，Tuzel O. Coupled generative adversarial networks[C]//Advances in neural information processing systems. 2016. 469-477.

[13]Arjovsky M，Chintala S，Bottou L. Wasserstein gan[J]. 2017，arXiv preprint arXiv：1701.07875.

[14]Karras T，Aila T，Laine S，et al. Progressive growing of gans for improved quality，stability，and variation[J]. 2017，arXiv preprint arXiv：1710.10196.

[15]Chesney R，Citron D. Deepfakes and the New Disinformation War：The Coming Age of Post-Truth Geopolitics[J]. Foreign Aff.，2019：98-147.

[16]Korshunov P，Marcel S. DeepFakes：a New Threat to Face Recognition?Assessment and Detection[J].2018，arXiv preprint arXiv：1812.08685.

[17]神奇女侠“下海”拍片？别兴奋，下一个可能就是你“老婆”[EB/OL]. https://www.ifanr.com/977830.

[18]谷歌把TensorFlow送给世界，世界却用它人工合成色情片[EB/OL]. http://www.yidianzixun.com/article/0IMDonKL.

[19]Citron D K，Franks M A. Criminalizing revenge porn[J]. Wake Forest L. Rev. 2014，49-345.

[20]卢阳旭，何光喜.我国人工智能治理面临的机遇和挑战：基于科技公共治理视角[J].行政管理改革，2019（8）:29-36.