近日因Deepfake技術衍伸出的社會案件引起討論,網紅小玉以及其團隊靠著Deepfake,將名人的臉換到色情片中,遭檢警逮捕。創新工場創辦人李開復在《AI 2041》一書中,就有討論到Deepfake技術,並拆且該技術背後的原理,及其未來會帶給社會的各種正面、負面影響,下為《數位時代》精選書摘,帶您從不同角度認識Deepfake。
李開復導讀
〈假面神祇〉講述了一個利用技術手段欺騙人類視覺的故事,故事圍繞西非奈及利亞的一個影音製作者展開,此人被招募來製作一段真假難辨的Deepfake(深度偽造)影片。如果他成功做到瞞天過海,將引發災難性的後果。在故事中的未來世界裡,偽造者和鑑別者之間高科技版「貓抓老鼠」的博弈史無前例地上演著。
電腦視覺是AI 的一個主要分支,它的目標是教會電腦「看懂」世界。自深度學習發明以來,我們在電腦視覺領域所取得的種種突破,一方面使得AI 感知技術達到了空前的水準,另一方面也引起了世人對AI 的重視。
如果AI 不僅可以看見、識別物體,還能對其加以理解及合成,那麼就可以巧妙利用這些能力,創造出讓人們無法分辨真偽的圖像和影像。
在〈假面神祇〉所描繪的未來中,人們再也無法單純依靠肉眼來辨別一段影片究竟是實地拍攝的,還是利用技術手段偽造的,為此,政府不得不公布相關法律,要求網站和App 安裝防偽檢測器(類似於如今的防毒軟體),以保護使用者權益免受偽造影片的侵害。
在這樣的大環境之下,深度偽造(Deepfake)攻守雙方的拉鋸戰就將演變成一場軍備競賽─ 擁有更多算力的一方將會獲得最終的勝利。
10年內已開發國家電腦將內建防偽檢測器
上述情況在2041 年之前就會在已開發國家出現,因為已開發國家在大約十年內就能部署昂貴的電腦來防禦Deepfake,也有足夠好的複雜工具和AI 專家來進行防禦,進而率先實施相關的反Deepfake 法案。而較落後的國家,如奈及利亞,可能到2041 年左右才會碰到Deepfake 的攻守拉鋸戰。
那麼,AI 是如何(透過攝影機和預先錄製好的影像)掌握「看」這項能力的?一旦能看,將會出現什麼樣的應用?奠基於AI 的Deepfake 究竟是如何實現的?人類或是AI 能夠看穿Deepfake 的真面目嗎?社交網路是否將會被假影片占領?人與人之間的信任會因此而被粉碎嗎?怎樣才能阻止Deepfake 的濫用?AI 技術還存在哪些安全性漏洞?Deepfake 背後的技術難道就不能給人類帶來好處嗎?
Deepfake走入生活,成為有心人操控工具
「川普是個徹頭徹尾的白痴。」歐巴馬在一段影片裡這樣說道。
這段影片裡的歐巴馬,無論是聲音、相貌還是表情,都跟真正的歐巴馬非常相似。
2018 年末,美國演員喬丹.皮爾與新聞聚合網站BuzzFeed 合作,「自編自導」製作的這樣一段「假」的Deepfake 影片,迅速在網路上傳播開來。AI 以皮爾的一段講話錄音為基礎,把皮爾的聲音轉變成了歐巴馬的聲音,然後調整歐巴馬的一段真實影片,讓他的臉部表情甚至嘴形都能夠與講話的內容相匹配。整段影片看起來沒有絲毫的違和感。
製作這段影片的初衷是向人們發出警告:Deepfake 內容很快就會走進我們的日常生活。
果不其然,同年,網路上就出現了一些以著名女明星為主角的「虛假色情片」:有人用製造Deepfake 的工具把色情片女主角的臉替換成了當紅女明星的臉,直接引發了眾怒,美國政府甚至不得不制定新的法律明令禁止這種行為,不過類似的情況還是屢禁不止。
2019 年,一款全新的App 在中國橫空出世。這款App 能夠幫助使用者實現他們的電影夢:在短短幾分鐘內,使用者只要用這款App 自拍,就能獲得一段專屬影片─ 在指定的電影片段之中,男女主角的臉會替換成使用者的臉,並隨著劇情變化做出相應的反應。
2021 年,一款名為Avatarify 的App 連續問鼎蘋果App Store 免費下載榜單Top 1。這款App 的功能是讓使用者上傳的照片「動起來」─ 使用者可以操縱照片中人物的表情,例如香港四大天王、還珠格格共唱「螞蟻呀嘿」洗腦歌曲。
Deepfake 似乎在一夜之間就火爆了起來。任何人都可以用它製作一段「假」影片,雖然影片的品質可能比較業餘,會讓人看出端倪,可是這並不妨礙Deepfake 的流行與普及。
但換個角度來考慮,這也意味著,在我們的世界裡,未來的所有數位資訊都有被偽造的可能。無論是線上的影片、錄音,還是監視攝影機拍攝的畫面,甚至法庭上的影音證據,都有可能是假的。
現在電腦算力不足,但2041年將無懈可擊
在〈假面神祇〉這個故事中,阿瑪卡使用的Deepfake 製造工具,比皮爾在2018 年使用的要先進得多,所製作出來的影音不僅更加成熟、品質更高,而且天衣無縫到連人類的肉眼或者普通的防偽檢測器都看不出任何問題。
阿瑪卡利用軟體工具,把希望「雷波」說的文本,透過語音合成系統轉化成與雷波本人的聲音高度相似的語音。接下來,再經過AI 演算法合成雷波的臉部表情和口型,讓「雷波」在說這段話時自然流暢。下一步,把合成的「雷波」的臉與FAKA 的身體疊加在之前處理過的影像中,確保手、腳、頸部等重點部位能夠以假亂真,在呼吸節奏、關節連接處等細節上也力求無懈可擊。
除這種基於影音的Deepfake 換臉方式外,還有一種換臉方法─ 三維建模,這種方法與3D 動畫片「玩具總動員」的製作過程類似。
三維建模屬於電腦科學分支之一─ 電腦圖形學─ 的研究範疇,這是一門使用數學演算法對一切事物進行建模的學科,哪怕是像頭髮、微風、陽光、陰影一樣細微的事物,也要有相應的數學模型。三維建模方法的優點在於,人們的創作自由度較高,可以隨心所欲地創建各種物體,並操縱這個物體去做各種事情,但相應地,這種方法的缺點是計算複雜程度更高,對算力的要求也更大。
2021 年的電腦速度所做出的三維建模水準還不能達標,完全無法騙過人類的眼睛(這也是為什麼動畫電影中的人物看起來不那麼真實),更別說通過防偽檢測器的驗證了。不過,到了2041 年, 人類也許會成功構建出具有高度真實感的三維模型。
大部分人可能會出於好玩、惡搞的心理去偽造一些影片,但肯定也有人會出於惡意去製造和傳播Deepfake 影片,就像〈假面神祇〉中逼迫阿瑪卡給FAKA 換臉的齊。除了偽造傳播性極廣的謠言或假新聞,Deepfake 還可能被有心之人用於偽造證據、敲詐勒索、騷擾、誹謗,更嚴重的還會操縱選舉。
Deepfake與反Deepfake之間將成軍備戰爭
Deepfake 到底是怎麼實現的?AI 技術如何檢測一段影音的真偽?當Deepfake 與反Deepfake 雙方產生對立時,哪一方會在這場競爭中取得勝利?要回答這些問題,我們需要先了解Deepfake 背後的工作機制和原理。
生成式對抗網路(GAN)
Deepfake 換臉術建立在一種名為生成式對抗網路(GAN)的技術基礎之上。顧名思義,GAN 是由一對互相對抗(博弈)的網路組成的深度學習神經網路。
其中的一個網路名為生成式網路,負責嘗試生成一些看起來很真實的東西,例如以數百萬張狗的圖片為基礎,合成一張虛構的狗的圖片。另一個網路名為判別式網路,它會把生成式網路所合成的狗的圖片,與真實的狗的圖片進行比較,鑑定生成式網路的輸出是真是假。
生成式網路會根據判別式網路的回饋,重新進行自我訓練,努力讓損失函數最小化,即縮小真實圖片與合成圖片之間的差異,朝著下一次能夠成功愚弄判別式網路的目標邁進;而判別式網路也會重新進行自我調整,努力讓損失函數最大化,希望練就火眼金睛, 不被生成式網路矇騙。
經過數百萬次這樣的「對抗」之後,生成式網路和判別式網路的能力會不斷提升,直至最終達到平衡。
世界上第一篇有關GAN 的論文發表於2014 年。這篇論文展示了GAN 的「對抗」過程─ 生成式網路首先合成了一個非常可愛但是看起來很假的「小狗球」(dogball)的圖片,然後很快被判別式網路判定為「假」,接著生成式網路逐步學會了「偽造」讓人很難區分真偽的狗的圖片。目前,GAN 技術已經被應用於影音、演講和許多其他形式的內容之中。
那麼,以GAN 技術為基礎的Deepfake 影片會被識破嗎?目前大多數Deepfake 影片都可以被演算法檢測到,有時甚至人眼就可以辨別出來,原因在於,這些影片在製作時使用的演算法還不夠完善,而且沒有足夠的算力做支撐。
為了以AI 制AI,Facebook 和Google 都曾發起過Deepfake 影片鑑別挑戰賽。不過,嚴苛的防偽檢測器消耗的算力非常大,如果一個網站每天都會收到數百萬段使用者上傳的影片,那麼防偽檢測器的有效性就將大打折扣。
長遠來看,阻止Deepfake 的最大難點其實在於GAN 的內在機制─ 生成式網路和判別式網路會在一次次「博弈」之後攜手升級。舉個例子,我們構建了一個生成式網路,這時有人構建了一個判別式網路,它能夠檢測出網路所生成的結果是「假」的,那麼我們就可以把愚弄新的判別式網路做為目標,重新訓練我們的生成式網路,這樣就會激發判別式網路重新進行訓練⋯⋯這個循環發展到最後將成為一場軍備競賽,比的是哪一方能夠用更強的算力訓練出更好的模型。
GAN技術原理:生成網路跟判別網路的對抗
在〈假面神祇〉這個故事中,阿瑪卡曾在地下網吧裡偽造了一段「白人吸血鬼男孩襲擊拉各斯無家可歸者」的影片。儘管當時阿瑪卡依靠的是網吧裡簡陋的演算法工具和算力,但這段影片仍然欺騙了不少人的眼睛,在發布後的二十四小時內獲得了數百萬次的點擊,直到被平台鑑定為偽造而遭封禁。
2041 年的技術生成的偽造影片足以蒙蔽人類的肉眼,但在以強大算力訓練而成的GAN 面前,還是會露出小尾巴,被GAN 的判別式網路識破。
隨著故事的發展,阿瑪卡的雇主齊為他提供了不受限制的雲端AI 算力,用來訓練複雜的大型GAN 模型,學習生成臉部、手/手指、步態、手勢、聲音以及表情等。此外,阿瑪卡還向GAN 投餵了大量真實的雷波的訓練資料。在這樣強大的支持下,阿瑪卡製作的這段Deepfake 影片能夠欺騙所有普通強度的防偽檢測器。
這不難理解,就像珠寶店的防彈窗可以擋住所有普通搶匪的入侵,但是如果有搶匪扛著火箭筒來搶珠寶店呢?在火箭筒面前,防盜窗簡直形同虛設。在強大的算力面前,普通防偽檢測器也是一樣。
到2041 年,針對Deepfake 影片的防偽軟體將成為類似於防毒軟體的存在。政府網站和官方新聞網站上對資訊的真實度要求非常高,所以會設置強度最高的防偽檢測器,以甄別網站上是否有由強大算力訓練而成的GAN 生成的高品質偽造影片。
社交網站和影音平台(例如微博、抖音)上的圖片及影片數量龐大,如果用強度過高的防偽檢測器來掃描使用者上傳的所有內容就會消耗大量算力, 所以都會部署級別較低的防偽檢測器,同時按照影片的傳播量對級別進行動態調整,傳播量愈大的內容會使用更為精準而嚴格的檢測技術。在故事中,雇主齊希望阿瑪卡偽造的影片能夠像病毒一樣迅速而廣泛地傳播,因此GAN 需要在算力最強大的電腦上進行訓練,以免被網站使用的最高級別的防偽檢測器發現。
區塊鏈:破解GAN生成假影片可能
難道就沒有檢測準確率能夠達到100% 的防偽檢測器嗎?這在未來並非無法實現,只不過可能需要採用一種完全不同的檢測方法─ 每台設備在捕捉影片或照片時,就對每段影片和每張照片進行認證,用區塊鏈保證它是原版的,絕對沒有經過竄改。這樣,每個網站在使用者上傳內容時,只要確認該內容是原版的,就不存在偽造的可能了。
然而,在2041 年,這種「高級」的方法還無法達成,因為這種方法要達成的前提之一是,讓所有電子設備都部署上區塊鏈技術(就像如今的AV 播放機全部帶有杜比音效)。此外,區塊鏈技術必須實現突破,才能處理這麼大規模的內容。
在實現上面提到的區塊鏈或其他長期解決方案之前,人們需要不斷改進防偽檢測技術和工具來應對Deepfake,同時需要制定相應的法律,對惡意製造Deepfake 的人採取嚴厲的處罰措施,以威懾潛在的犯罪者。例如,加州在2019 年就通過了一項法律,禁止Deepfake 在色情片中出現,同時禁止使用Deepfake 來擾亂政治選舉。即便立法滯後,人們可能還需要自己學會辨別網上的內容─ 無論線上的內容看起來多麼真實,都不排除有「假冒」的嫌疑(直到區塊鏈解決方案產生作用)。
其實,除了製作Deepfake 換臉影片之外,GAN 也可以用於做一些更有建設性的工作,例如讓照片中的人物變年輕或者變老、為黑白電影及照片上色、讓靜態的畫作(例如「蒙娜麗莎」)動起來、提高解析度、檢測青光眼、預測氣候變遷所帶來的影響,甚至發現新藥。
我們不能把GAN 和Deepfake 畫上等號,因為這項技術的積極影響將遠遠地超過其負面影響,絕大多數新出現的突破性技術也都是如此。
AI普及也成駭客目標,Deepfake只是其中一個漏洞
隨著技術的不斷進步,任何計算平台都可能出現漏洞及安全隱患,例如電腦病毒、信用卡盜用和垃圾郵件等。而且,隨著AI 的普及,AI 本身也將暴露出各種漏洞並遭到各方攻擊,Deepfake 反映出的只是其中的一個漏洞而已。
專門設計的對抗性輸入是針對AI 系統的攻擊方法之一。攻擊者將挑戰AI 系統的決策邊界,並借此調整對AI 系統的輸入,進而達到讓AI 系統出錯的目的。例如有研究人員設計了一副新款太陽眼鏡,讓AI 系統把戴上眼鏡的「他」錯認成蜜拉.喬娃維琪。
還有研究人員在路面上貼了一些貼紙,成功愚弄了特斯拉Model S 車上的自動駕駛系統,讓其決定轉換車道,直接開向迎面駛來的車輛。「假面神祇」裡的阿瑪卡也曾利用一張面具成功欺騙了車站的人臉識別系統。試想,如果有人把類似的攻擊手段應用在軍事領域,例如讓AI 系統把一輛偽裝過的坦克誤認為是救護車,那麼後果將不堪設想。
還有一種攻擊AI 系統的方法是對資料「下毒」:攻擊者透過「汙染」訓練資料、訓練模型或訓練過程,來破壞AI 系統的學習過程。這可能導致整個AI 系統徹底崩潰,或被犯罪者控制。如果一個國家的軍用無人機被恐怖分子操控,那麼這些無人機將把武器掉轉過來瞄準自己的國家,這將是多麼可怕的事情。
什麼是資料下毒?如何防範
與傳統的駭客攻擊相比,對資料「下毒」的攻擊手段更難被人類察覺。問題主要出在AI 系統架構上面─ 模型中的複雜運算全部都在成千上萬層的神經網路中自主進行,而不是按照確切代碼的指引進行的,所以AI 系統先天就具有不可解釋性,也不容易被「調試」。
儘管困難重重,但我們仍然可以採取明確的措施來阻止上述情況發生。例如,加強模型訓練及執行環境的安全性,創建自動檢查「中毒」跡象的工具,以及開發專門用於防止竄改資料或與其類似的規避手段的技術。
正如我們過去透過技術創新攻克了垃圾郵件、電腦病毒等一道道關卡一樣,我深信技術創新也能大大提高未來AI 技術的安全性,盡量減少給人類帶來的困擾。畢竟,解鈴還須繫鈴人。技術創新所帶來的問題,最終還是需要依靠新的技術創新來進行改善或徹底解決。
【熱門焦點】
責任編輯:錢玉紘
