大家ZAO起來，臉都不要了

【本文由公眾號 半佛仙人&騰訊科技 同步首發】

1

本周末，整個互聯網行業最火爆的產品，毫無疑問是ZAO，一款主打AI換臉的工具類產品。

一時之間朋友圈裡全都是使用ZAO做出的短視頻，表情包以及對於ZAO本身的討論。

ZAO上線的第一時間我就上手在玩兒了，周六就發了與ZAO有關的信息，多家媒體上也能看到我對於ZAO的簡短評論。

之所以正式文章今天才出來，是因為我這兩天一直在用ZAO試驗一些可能性，從進攻的角度，一直玩到周日晚上才差不多結束試驗。

可以說我的整個周末，都在ZAO作。

這篇文章我想談談，ZAO本身的一些問題，法律與安全問題，以及技術問題。

更想談談，ZAO的出現背後所代表的，AI年代我們當前很多理念和規則即將迎來的挑戰。

這與我們每一個人的生活都有關。

至於這是好還是壞，我不做結論。

2

先說ZAO的核心技術，其實並不新鮮。

這套換臉的玩法，是基於已開源的DeepFakes，更底層原理基於深度學習模型——生成式對抗網絡（GAN, Generative Adversarial Networks）。

這個技術是近幾年無監督學習領域最熱門的方向之一，什麽都能做，似乎萬物都可GAN。

你們不要讀錯，更不要亂聯想。

當然讀者不需要特別清楚的知道技術原理，可以簡單理解為是一種相對成熟的機器學習理論，類似於萬有引力定律。

這個理論引起公眾的轟動是因為DeepNude以及DeepFakes兩個應用產品。

簡單來說，類似於人們基於萬有引力定律造出了無重力倉，這東西特別好玩兒，於是人們開始重視萬有引力定律。

DeepNude以及DeepFakes，很快就爆火，但同樣很快就出現了問題。

前者是基於圖片處理，可以實現一鍵換衣，能換衣自然就能脫衣，很多明星的公開照片被這個軟體直接扒光，就是前段時間盛傳的一鍵脫衣。

國內LOL愛好者應該也知道前段時間知名主持人小玨的一張採訪圖片被扒了衣流傳出來，實際上就是用了DeepNude的組件。

後者是基於視頻處理，可以實現一鍵換臉，神奇女俠加爾蓋朵以及黑寡婦斯嘉麗約翰遜的臉被很多人直接加到色情片中，毫無違和感。

甚至之前一度非常流行的奧巴馬痛罵川普以及各種騷操作的視頻，也是DeepFakes做的；

還有用DeepFakes把希拉裡和川普做成夫妻的，把他倆臉坐到一起的，把他倆做到色情片裡的，玩法多種多樣。

人們的智慧是無限的，只要有工具出來，就一定會給玩出花樣來，而且早期的花樣一定不夠高尚。

由於人們的智慧過於無限，導致就連尺度過大著稱的各類神奇網站，都集體封殺了DeepNude以及DeepFakes。

可以隨意給人換衣換臉，而且多數人看不出來，這造成的影響，實在是有點大。

別的不說，各種捏造的川普視頻，就足夠讓世界經濟局勢上躥下跳了。

只要有波動，就有獲利者。

3

DeepNude和DeepFakes雖然被封殺了，但是他們把核心技術做了開源。

就像是海賊王直接把one piece直接發給所有人人手一份，就像如來佛把佛經直接掛在百度雲上一樣。

一下子人人都成了AI換臉專家。

只要稍微懂一點技術的人，都可以使用他們的技術來套層殼來玩兒，ZAO也是諸多衍生APP之一。

ZAO的爆紅本身不意外，產品流程設計的確實非常流暢（我不會承認他們開屏中的某個人我還認識），AI換臉在國內也確實是全新的體驗，很好玩兒。

我看到很多媒體文章都在分析ZAO是如何成功的，ZAO的成功能否延續，ZAO下一步要如何運營，ZAO能火多久。

這根本不是重點，這種涉及人臉的產品不火才怪。

真正的重點在於，這類支持使用者隨意創造換臉，到底，有沒有真正的授權？

有沒有侵犯肖像權？如果侵犯了怎麽辦？責任在誰？

翻看ZAO的隱私協議，挺有趣的。

建議每個人在玩兒ZAO之前，在注冊階段，好好把紅色的字讀10遍，然後再來考慮。

ZAO沒有隱瞞任何東西，他們寫的明明白白，清清楚楚。

當你使用ZAO來編輯人臉的時候，【你】不僅僅是把自己的肖像授權給了【ZAO】及其【關聯公司】使用，並且，如果你編輯的【不是你】的人臉，那麽【你】需要保證這個是拿到授權的，不然產生的一切後果，要【你】來承擔。

這是最重要的東西，可惜大多數人一開始忽略了這個。

4

我用簡單的例子來解釋一下這段話，同時講一下ZAO面臨的風險。

假如，我把我自己的臉放在ZAO上面了，那麽就等於是默認了把自己這張照片授權給了ZAO使用，這張照片以及用這張照片生成的視頻，都可以給ZAO使用。

不僅是給了ZAO，同樣還給了ZAO的關聯公司，這個關聯公司的定義是模糊的，也就是，你也不知道ZAO給了誰用，這要這家公司和ZAO存在關聯關係，那麽這家公司就可以用，你可能都不知道這家公司的存在。

至於拿去幹什麽用，協議上沒有明寫，這就留下了一個很大的想象空間。

反正即使拿去賣錢你也管不著，因為協議裡是允許ZAO再授權的。

簡而言之，就是只要你傳了照片，之後就都是ZAO的了。

ZAO自己也意識到這個東西有問題了，所以緊急修改了協議，修改後的版本如下圖。

只要用ZAO，你的這張臉，就借給ZAO了。

當然問題不僅僅是這點。

如果你使用了別人的臉，那麽更有趣。

按照用戶協議，如果你上傳了一張吳亦凡的照片，那麽這張照片同樣也是授權ZAO及其關聯公司免費使用的。

簡單來說，就是你把吳亦凡借給了ZAO。

如果吳亦凡不幹了，要起訴ZAO，那麽依據用戶協議，ZAO不承擔後果，因為【您同意或者確保權利人已同意】，上傳者要自己確保自己上傳的他人的臉已經得到了授權，如果沒有確保的話，那麽問題出在上傳者。

所以吳亦凡只能起訴你，因為你簽的用戶協議中保證了自己上傳的都是拿到了授權的內容。

ZAO作為一個平台，不負責審查照片是否侵權（也沒這個能力）享受著所有照片的授權及傳播紅利，但是侵權風險歸上傳照片用戶，這個操作是很有趣的。

並且ZAO自己那些拿來讓大家玩的視頻素材，很多版權都存在模糊。

ZAO用戶大戰視覺中國，聽起來就很刺激。

5

除了肖像權風險的轉嫁（這一手真的很漂亮），ZAO面臨的最大的兩個風險，一個是敏感人物（DeepNude和DeepFakes就因為這個被封殺），一個是不法用途。

ZAO自己號稱是可以過濾掉公眾人物，防止用戶亂來玩出事兒。

但實際上，不可能100%過濾掉，機器學習和人工智能是厲害，但其識別機制就代表了100%過濾根本不存在。

簡單介紹一下機器是如何認識人的。

人是如何區分貓狗的？說白了，就是貓狗具有不同的特徵，例如兩耳的距離，耳朵的形狀，鼻子的面積，眼睛的顏色等等等數百個特徵。

人是如何區分不同人的？一個道理，有的人鼻子與整張臉的比例誇張，有的人嘴巴小，有的人有雀斑，有的人耳朵到嘴的距離很短等等等等數百到上千個特徵。

機器也是一樣，只不過是把這些東西量化了，機器會把人臉打上數千個點，然後把點連成線，只要這些線的總體比值符合一定的相似度，然後對相似度切一刀，例如大於95%,那麽就認為是一個人。

所以機器其實不知道你是不是你，機器只是知道你和理論上你的照片的相似度是多少，這就代表著一定存在誤判，漏判，這是必然，讓人看也會漏看。

這裡不存在百分之百。

而且黑產在過人臉這件事情上的經驗，已經足夠成熟了，想要上傳明星或者其他公眾人物，並不困難。

我在以前的文章中寫過干擾人臉檢測，機器認人是通過拆解無數的點，然後比對點與點之間的線。

所以如果在人臉中加入一些干擾的【噪點】，就可以改變整個線的分布，從而讓機器認錯人。

這周末做的第一個實驗，就是利用照片噪點技術來嘗試能否繞過ZAO的所謂公眾人物人臉檢測。

實際上測下來不困難，可以上傳處理過的人臉，這個臉在人眼中看來是一個人，但是在機器眼中不是。

這背後帶來的，就是ZAO產品本身存在的巨大風險，一旦有競爭對手或者黑產利用噪點上傳了一些特殊的人物做了視頻，然後進行傳播，這對於ZAO將是毀滅性的打擊。

DeepNude和DeepFakes已經有了前車之鑒，ZAO在這方面需要狠下功夫來防禦，目前看來是遠遠不夠的。

目前微信已經限制了ZAO的視頻直接分享功能，ZAO也不支持直接分享微信，這裡面，或多或少就有這樣的擔憂。

一個失控的人臉替換，是非常可怕的。

不需要我再舉例了，大家自己腦補就就想到無數的倫理應用。

6

第二個實驗，是使用ZAO處理過的視頻，能否通過刷臉支付。

答案是，在APP上基本不可以，因為所有涉及刷臉的APP本身，都有設備驗證及SDK加固，但是少數幾個型號手機的安卓系統，在Root之後，切換網絡後，通過沙盒有能夠突破的跡象，如果有更多時間鑽研的話，應該是存在可能的。

當然這個其實不屬於支付產品問題，這個屬於手機系統問題。

不過刷臉支付的核心場景並不是手機APP，而是各大商場的人臉支付，這種情況下不需要接觸APP，單純臉對攝影頭，只要用視頻讓攝影頭認為是真人即可，偽造難度要低很多。

這個實驗花了一天多的時間，最終結論是在現實場景中的某些情況下可以實現刷臉，雖然通過率比較低，需要對設備和照片做特殊處理，並且使用特定的幾個視頻模板。

或者直接一點，實驗室環境小概率可以繞過，現實環境考慮到人流的因素，很難繞過。

幸虧我和附近超市老闆的關係不錯，所以他的幾個刷臉付款設備（多家公司）被我玩了一天，如果你周日發現杭州某個超市裡有個胖子帶著一堆神奇的設備一臉便秘地在操作好幾台刷臉機器，操作了一整天，請你不要誤會他是修機器的。

經過一整天的折騰，大概也知道了如何實現機器刷臉以及防禦這種攻擊，趕在黑產開始研究前，先介紹如何防禦吧。 1.刷臉機器判斷是否活人的依據之一是螢幕反光程度及清晰度，但是如果把測試機器的外屏拆掉的話，可以有效降低閾值，所以這一部分的策略需要迭代更新，反光屬於必殺，不反光也不代表正常。

當然反光的定義也需要更新，不要把一些人的油性皮膚和禿頭反光也給誤殺了。

2.增加攝影頭的數量以及位置，可以有效增加黑產作案成本，提高失敗率。

現階段刷臉通用的解決方案往往是2到5攝影頭小範圍並排，如果黑產使用專業的固定工具加定製的4K視網膜屏安卓平板（好修改系統，尤其是視頻需要銳化），再配合特定的固定工具控制角度，是足夠完全覆蓋這幾個攝影頭的範圍的，再配合無反光和高清晰度，這導致輔助攝影頭也無法及時識別是設備而非真人。

所以需要增加更多的攝影頭位置，甚至安放部分肉眼不可見的攝影頭，來防止使用大尺寸設備覆蓋攝影頭範圍。

3.ZAO視頻中有少數幾個模板符合人臉識別動作要求，這幾個模板本身包含人物的幾個特定搖頭眨眼動作，替換後和真人無異。

所以需要各家機構對於人臉識別的固定動作進行更新，當前多家採用的策略是5選3,5選2,5選1，建議擴充這個庫。

4.對於在常駐地以外的刷臉支付，第一次一定要配合手機驗證碼或者手機APP刷臉。

雖然黑產圈一直有各種過人臉的方法和理論流出，大家也在實時攻防，但過去往往都是騙騙網貸的人臉識別，隨著商超刷臉支付的進一步發展，以及DeepFakes這種大殺器的開源，接下來面臨的各種盜刷風險是需要所有人都警惕的。

7

最後，我想談的是，ZAO這類產品代表的是DeepFakes技術的全面民用化落地，這為多數用戶帶來了非常有趣的體驗，但與此同時，帶來的是黑產對這類技術的濫用。

DeepFakes的開源，打開了潘多拉的魔盒。

不得不承認的一點是，在應用新技術上面，黑產是遠遠比大多數人要更努力更用心鑽研的，因為一旦成功，有錢拿。

這種無縫替換人臉的技術，在黑產手中可以玩出無數的花樣。

例如詐騙，黑產使用這項技術無縫把老人子女的臉融入視頻中，不管是生病要錢，還是綁架，還是轉账，都很容易騙過來人。

例如冒充公檢法，黑產使用這項技術把自己的臉P到一些公開視頻中，然後說自己就是某某某，對方一看還真是，就輕易相信。

例如敲詐，黑產使用這項技術把受害人臉加到一些黃色視頻中，然後威脅不給錢就群發散布，實際上很多高利貸的催收就喜歡這麽玩兒，只不過過去的P圖不夠震撼。

不說敲詐類黑產，但是無縫換臉技術流入平民手中，帶來的新玩法就很多。

隨手一個操作，把女友的臉放到色情視頻中，到底是不是出軌，如果用這種方法起訴離婚，有沒有方法可以破解這個視頻是真的假的？

A和B發生衝突，然後A把B的臉融到各種猥瑣的地方散布或者直接誣陷，如何才能破解這個視頻是真還是假？

用AI去融合明星的臉，危害其實有限，因為大家都知道是假的。

但如果用AI去融合生活中身邊人的臉，那麽又要如何分辨呢？

尤其是很多人看到視頻就先入為主的情況下（實際上絕大多數人是不會本能懷疑視頻有問題的），造成的後果又有誰來承擔呢？

或許今後我們面對每一段視頻都要帶上一段疑惑，你是你，或者你不是你？

AI年代，我們每個人最大的問題或許會是。

你是誰？

-----------------------

公眾號：半佛仙人（ID：banfoSB）

微博：半佛仙人正在裝

知乎：半佛仙人

這是一個神奇的男人，你完全猜不出他會寫出什麽，他自己也不知道。