近年來，人工智能（AI）技術(shù)突飛猛進，隨之也帶來了AI技術(shù)可能被濫用的問題。當前AI圖像合成技術(shù)可以創(chuàng)造逼真的虛擬人物，引發(fā)“眼見不一定為實”的普遍擔憂。如果不法分子利用合成人臉進行詐騙、誹謗以及盜取機密信息等活動，將會給社會安全與穩(wěn)定造成嚴重的負面影響。

近日，上海交通大學(xué)電子信息與電氣工程學(xué)院人工智能研究院教授楊小康團隊的“End-to-End Reconstruction-Classification Learning for Face Forgery Detection”“Exploring Frequency Adversarial Attacks for Face Forgery Detection”兩篇論文已被人工智能國際頂級會議CVPR 2022收錄。楊小康帶領(lǐng)的數(shù)字人研究團隊致力于從機器學(xué)習(xí)角度去鑒別人臉圖像和視頻的真假，推動可信人工智能的發(fā)展。由楊小康教授、馬超副教授聯(lián)合指導(dǎo)的兩篇相關(guān)論文在偽造人臉鑒別的準確性和魯棒性兩方面取得了系統(tǒng)性突破，在國際上率先為人臉認證、虛擬數(shù)字人等產(chǎn)業(yè)健康發(fā)展鍛造了AI執(zhí)劍人。

CVPR（計算機視覺與模式識別會議，IEEE Conference on Computer Vision and Pattern Recognition）是計算機視覺和模式識別領(lǐng)域的頂級會議，被中國計算機學(xué)會推薦為A類會議。根據(jù)谷歌學(xué)術(shù)公布的2021年最新學(xué)術(shù)期刊和會議影響力排名，CVPR在所有學(xué)術(shù)刊物和會議中位居第4，僅次于《Nature》、《NEJM》和《Science》。

當前鑒別人臉圖像是否偽造存在兩方面技術(shù)難題：一是如何鑒別未知方法偽造的人臉圖像。當前主流鑒別方法都是針對特定的幾種人臉偽造方法所設(shè)計的，鑒別未知方法偽造的人臉圖像則效果不佳；二是人臉偽造本質(zhì)上是利用深度學(xué)習(xí)對人臉圖像進行信息篡改，當前的鑒別方法沒有考慮利用深度學(xué)習(xí)對鑒別方法自身的攻擊。為此，楊小康團隊提出名為RECCE（中文釋義：偵查）的鑒別方法，利用圖像重建技術(shù)放大偽造痕跡，即使是方法未知的偽造人臉圖像，也能十分容易地準確識別偽造區(qū)域。同時，該研究團隊設(shè)計了針對偽造人臉鑒別方法的抗攻擊測試，提出名為Hybrid Attack的攻擊方法，對偽造人臉圖像進行人眼不可見的微量修改成功欺騙了鑒別算法，使其判斷為真實人臉圖像?？构魷y試大幅提升了偽造人臉檢測算法的魯棒性。

圖像重建讓偽造無所遁形

現(xiàn)有偽造人臉檢測方法大多通過分析輸入圖像所采用的特定合成模式來辨別是否偽造人臉，比如微軟亞洲研究院提出的Face X-Ray算法將圖像融合的邊界作為合成模式來判定是否偽造，該算法認為每張合成人臉圖像至少由兩張圖像疊加而成，即面部中間來源于一張圖像，而面部周圍來源于另一張圖像。然而，隨著偽造技術(shù)的發(fā)展，過度關(guān)注特定的已知合成模式容易造成無法識別全新合成方法生成的偽造樣本。同時，圖像傳輸過程中的壓縮、模糊、飽和度失調(diào)等噪聲也可能破壞已知的合成模式，從而影響偽造人臉檢測算法的準確度。

研究團隊從一個新的視角來探索偽造人臉檢測任務(wù)，設(shè)計了一個名為RECCE的“重建—分類”學(xué)習(xí)框架，通過重建人臉圖像來學(xué)習(xí)真實人臉的共性特征，并根據(jù)分類任務(wù)來挖掘真實人臉與偽造人臉的本質(zhì)差異。簡單來說，利用真實人臉圖像訓(xùn)練了一個重建網(wǎng)絡(luò)，并利用重建網(wǎng)絡(luò)的隱層特征來對真實與偽造人臉進行分類。由于偽造人臉與真實人臉在數(shù)據(jù)分布上存在不一致，因此偽造人臉的重建誤差更明顯，且能更準確地反映偽造區(qū)域。

上圖分別展示了輸入為真實人臉和對嘴部區(qū)域進行合成的偽造人臉。該團隊設(shè)計的重建方法可以有效區(qū)分真實與偽造人臉，并且能準確顯示偽造區(qū)域（嘴部紅色掩碼），為智能鑒別技術(shù)提供了較好的可解釋性

研究人員在偽造人臉檢測常用數(shù)據(jù)集如FaceForensics++ （FF++）和WildDeepfake上進行了大量實驗，實驗結(jié)果表明基于圖像重建的檢測方法取得了當前最優(yōu)的偽造人臉檢測精度。尤其在FF++數(shù)據(jù)集c40（即低分辨率）設(shè)置下，所提出的方法比當前最好的算法F3-Net提升了1.72%AUC。為了驗證本算法在復(fù)雜場景下的偽造檢測性能，研究人員還將所提出算法在當前最大規(guī)模的數(shù)據(jù)集DFDC上進行實驗，結(jié)果展示于下圖表中。

表中可以看出，所提出算法依然取得了最佳性能，并在AUC上領(lǐng)先次優(yōu)方法1.01%。以上實驗結(jié)果充分說明了本算法相較于現(xiàn)有方法的優(yōu)越性。

偽造人臉檢測抗攻擊測試

AI合成的偽造人臉主要是欺騙人眼的判斷，同時AI能通過人眼不可見的像素修改欺騙偽造人臉鑒別算法。因此，對偽造人臉檢測算法開展抗攻擊測試變得十分重要。

對于偽造人臉檢測任務(wù)，現(xiàn)有的對抗攻擊方法通常是在像素上增加微弱的擾動使得檢測方法做出錯誤的判斷，比如在偽造人臉圖像上添加人眼不可見的像素改變可以蒙蔽檢測方法，使其識別為真實人臉。麻省理工大學(xué)團隊提出的PGD算法，將神經(jīng)網(wǎng)絡(luò)反傳的梯度變化不斷添加到原始圖像上，得到最終的對抗樣本，容易引起訓(xùn)練過擬合而遷移性較差。此外，添加擾動的方法也破壞了原始圖像的質(zhì)量，無法得到高質(zhì)量的攻擊樣本。

該團隊研究人員觀察到，現(xiàn)有檢測方法往往利用頻率信息來鑒別人臉真?zhèn)?，于是有針對性地設(shè)計了一種基于頻率的對抗攻擊方法作為測試。具體來說，通過對輸入人臉圖像應(yīng)用離散余弦變換（DCT），在頻域中引入適應(yīng)性的對抗噪聲，再將結(jié)果轉(zhuǎn)化到空間域，得到最后的對抗攻擊樣本。此外，受元學(xué)習(xí)思想的啟發(fā)，還提出了一種融合空間域和頻域的對抗攻擊方法Hybrid Attack，在保證已知鑒別模型條件下的攻擊成功率的同時，進一步加強了未知鑒別模型條件下攻擊的跨模型遷移性。

與此前麻省理工大學(xué)提出的對抗攻擊方法PGD相比，在頻域添加對抗信息，從而更不易被人眼察覺，同時也不會降低人臉圖像的視覺質(zhì)量。該方法不僅可以有效地欺騙基于人臉圖像空間域變換設(shè)計的鑒別方法，還可以有效地欺騙基于人臉圖像頻域變換設(shè)計的鑒別方法。大量實驗結(jié)果表明，所提出的新方法在多個大規(guī)模數(shù)據(jù)集上取得當前最好的對抗攻擊效果，為偽造人臉檢測算法提供了最強的對抗攻擊樣本作為測試。

以上兩項成果由電院人工智能研究院楊小康團隊與騰訊優(yōu)圖實驗室緊密合作產(chǎn)出，算法成果可應(yīng)用于遠程身份認證、圖像和視頻鑒偽等多種場景，充分保障人臉作為身份驗證的安全性需求。

電院人工智能研究院碩士生曹雋逸、博士生賈率分別為以上兩篇論文的第一作者，人工智能研究院副教授馬超為兩篇論文的通訊作者；合作者包括騰訊優(yōu)圖實驗室研究員姚太平、陳燊、尹邦杰、丁守鴻博士等。

2020年以來，人工智能研究院面向數(shù)字人的大規(guī)模生成需求，楊小康教授帶領(lǐng)的數(shù)字人研究團隊針對數(shù)字人的可泛化、可驅(qū)動、可交互、可信認證等科學(xué)難題，發(fā)展生成式數(shù)字人理論與技術(shù)，旨在提升數(shù)字人的生成質(zhì)量與生成效率、賦予數(shù)字人在數(shù)字空間的感知、交互及可信溯源能力。未來，人工智能研究院將繼續(xù)按照學(xué)校戰(zhàn)略部署，打造人工智能跨學(xué)科研究高地，形成交大特色的人工智能創(chuàng)新生態(tài)，提升學(xué)校人工智能學(xué)術(shù)影響力，塑造人工智能“交大品牌”。（來源：上海交大）