1、 人工智能安全框架（2020年） 本藍皮書針對全球人工智能安全框架缺失問題，凝聚業界專家共識，聚焦當前人工智能突出安全風險，提出涵蓋人工智能安全目標，人工智能安全分級能力，以及人工智能安全技術和管理體系的人工智能安全框架，期待為社會各方提升人工智能安全防護能力提供有益參考。一、人工智能安全現狀(一)人工智能安全挑戰1.人工智能“基建化”加速，基礎設施面臨安全挑戰2020 年 5 月，我國政府工作報告提出以 5G、人工智能等為代表的新型基礎設施建設政策，此舉按下了人工智能國家戰略推進的快進鍵。隨后，25 省市發布“新基建”政策方案，累計投資 30 余萬億人民幣，加快推動人工智能算力、算法和數據基

2、礎設施建設。在新基建推動催化下，人工智能技術將加快轉變為像水、電一樣的基礎設施，向社會全行業全領域賦能。然而，人工智能基礎設施卻潛藏安全風險。以機器學習開源框架平臺和預訓練模型庫為代表的算法基礎設施因開發者蓄意破壞或代碼實現不完善面臨算法后門嵌入、代碼安全漏洞等風險。2020 年 9 月，安全廠商 360 公開披露谷歌開源框架平臺TensorFlow 存在 24 個安全漏洞。開源數據集以提供數據采集、清洗、標注等服務的人工智能基礎數據設施面臨訓練數據不均衡、訓練數據投毒、訓練數據泄露等安全風險。2020 年，美國麻省理工學院的研究人員通過實驗證實 CIFAR-100-LT、ImageNet-L

3、T、SVHN-LT 等廣泛應用的數據集存在嚴重不均衡問題。2.人工智能“協同性”增強，設計研發安全風險突出聯邦學習、遷移學習等人工智能新技術的應用，促進跨機構間人工智能研發協作進一步增多。因遵循了不同目標和規范，使得人工智能設計研發階段的安全風險更加復雜且難以檢測發現。一是人工智能算法自身存在技術脆弱性。當前，人工智能尚處于依托海量數據驅動知識學習的階段，以深度神經網絡為代表的人工智能算法仍存在弱魯棒性、不可解釋性、偏見歧視等尚未克服的技術局限。二是人工智能新型安全攻擊不斷涌現。近年來，對抗樣本攻擊、算法后門攻擊、模型竊取攻擊、模型反饋誤導、數據逆向還原、成員推理攻擊等破壞人工智能算法和數據機

4、密性、完整性、可用性的新型安全攻擊快速涌現，人工智能安全性獲得全球學術界和工業界廣泛關注。三是算法設計實施有誤產生非預期結果。人工智能算法的設計和實施有可能無法實現設計者的預設目標，導致產生偏離預期的不可控行為。3.人工智能“內嵌化”加深，應用失控風險危害顯著產業智能轉型升級的內在驅動，不斷推動人工智能深度內嵌于各行各業各環節中，真正實現物理世界變化實時映射于數字世界，以及數字世界演進優化帶動物理世界發展的雙向融合。然而，人工智能各行業應用帶來的數字和物理世界雙向融合，將促使人工智能在數字世界中的安全風險向物理世界和人類社會蔓延。一是威脅物理環境安全。應用于農業、化工、核工業等領域的智能系統非

5、正常運行或遭受攻擊，可能破壞土壤、海洋、大氣等環境安全。二是威脅人身財產安全。自動駕駛、無人機、醫療機器人、智慧金融等智能系統的非正常運行將可能直接危害人類身體健康和財產安全。三是威脅國家社會安全。不法分子惡意利用基于人工智能的換臉換聲技術偽造政治領袖和公眾人物的高逼真度新聞視頻，可能引發民眾騷亂甚至國內動亂，威脅國家安全。(二)人工智能風險地圖與人工智能系統設計運營等全流程相結合，詳盡剖析人工智能系統在各生命周期階段面臨的安全風險，將有助于分析定位人工智能安全風險來源，研究和部署針對性安全防御理論和技術。國際標準化組織（ISO）開展了人工智能系統生命周期過程標準項目，將人工智能系統全生命周期

6、概括為初始、設計研發、檢驗驗證、部署、運行監控、持續驗證、重新評估、廢棄八個階段。基于 ISO 對于人工智能系統全生命周期的劃分，項目組描繪出人工智能全生命周期安全風險地圖，如圖 1 所示。初始階段安全風險。初始階段是指將想法轉化為有形系統的過程，主要包括任務分析、需求定義、風險管理等過程。這個階段的安全風險主要表現為對人工智能應用目標的設定有悖國家法律法規和社會倫理規范。設計研發階段安全風險。設計研發階段是指完成可部署人工智能系統創建的過程，主要包括確定設計方法、定義系統框架、軟件代碼實現、風險管理等過程。這個階段的安全風險主要表現為人工智能基礎設施不完善、技術脆弱性以及設計研發有誤等引發的

7、安全風險。檢驗驗證階段安全風險。檢驗驗證階段是指檢查人工智能系統是否按照預期需求工作以及是否完全滿足預定目標。這個階段的安全風險主要表現為測試驗證不充分，未及時發現和修復前序階段的安全風險。部署階段安全風險。部署階段是指在目標環境中安裝和配置人工智能系統的過程。這個階段的安全風險主要表現為人工智能系統部署的軟硬件環境不可信，系統可能遭受非授權訪問和非授權使用。運行監控階段安全風險。運行監控階段，人工智能系統處于運行和可使用狀態，主要包括運行監控、維護升級等過程。這個階段的安全風險主要表現為惡意攻擊者對人工智能系統發起的對抗樣本、算法后門、模型竊取、模型反饋誤導、數據逆向還原、成員推理、屬性推斷

8、、代碼漏洞利用等安全攻擊，以及人工智能系統遭受濫用或惡意應用。持續驗證階段安全風險。在持續驗證階段，對于開展持續學習的人工智能系統進行持續檢驗和驗證。這個階段的安全風險主要表現為測試驗證數據更新不及時，未及時發現和修復因持續學習引入的模型反饋誤導等安全風險。重新評估階段安全風險。當初始目標無法達到或者需要修改時，進入重新評估階段。該階段主要包括設計定義、需求定義、風險管理等過程。這個階段主要涉及需求調整和重新定義，因而其安全風險與初始階段的安全風險類似，即人工智能應用目標的設定有悖國家法律法規和社會倫理規范。廢棄階段安全風險。在廢棄階段，廢棄銷毀使用目的不復存在或者有更好解決方法替換的人工智能

9、系統，主要包括數據、算法模型以及系統整體的廢棄銷毀過程。這個階段的安全風險主要表現為銷毀不徹底，泄露個人隱私。(三)人工智能安全技術現狀1.人工智能安全領域近年來論文數量增長迅速近 10 年，人工智能安全風險和防御領域論文發表情況如圖 2 所示。可以看出，自 2014 年谷歌研究人員首次證實深度神經網絡面臨對抗樣本攻擊威脅后，人工智能安全風險和防御領域論文數量迅速增長。2.人工智能安全熱點技術方向近年來，人工智能安全熱點技術方向發表論文發表情況如圖 3 所示。根據論文發表量可以看出，對抗樣本攻擊和防御是人工智能安全領域最受關注的研究方向。隨后，數據投毒攻擊和防御、模型可解釋、算法后門攻擊和防御

10、這三個方向的論文發表量也均在 9000 篇以上，關注度較高。其次，聯邦學習、差分隱私機器學習和深度偽造及檢測近年來也逐漸成為受關注的技術方向。隨著人工智能技術應用愈加頻繁，機器學習開源框架平臺的安全性逐漸受到重視。機器學習開源框架平臺安全漏洞挖掘修復也成為人工智能安全領域的熱點研究方向。全球著名漏洞數據庫 CVE 披露的典型機器學習開源框架平臺安全漏洞數量逐漸增多，截至 2020 年 11 月20 日的收錄情況如圖 4 所示。盡管人工智能安全熱點技術方向大多是由美國研究人員首次提出，我國科研人員在相關領域已開展了大量創新性工作并取得了全球領先的研究成果。機器學習開源框架平臺安全漏洞挖掘修復是由

11、我國首次提出并貢獻主要成果的人工智能安全熱點技術方向。3.人工智能安全技術取得局部突破人工智能安全熱點技術方向中，聯邦學習、差分隱私機器學習和深度偽造檢測的商用步伐最快，已具有工業級產品并在部分領域開展試點應用。聯邦學習方向，微眾銀行、字節跳動、京東數科等科技企業均推出了商用級聯邦學習平臺，并在保險定價、金融信貸、電商廣告、智慧城市等領域開展試點商用。差分隱私機器學習方向，谷歌開源了差分隱私函數庫 Differential Privacy Library，并已在谷歌地圖、谷歌瀏覽器 Chrome 中開展實際應用。深度偽造檢測方向，百度和瑞萊智慧推出了深度偽造檢測服務平臺，可向視頻網站、網絡論壇

12、、新聞機構等提供人臉和人聲偽造檢測能力。(四)人工智能安全框架缺失當前，隨著數字經濟和智能經濟進階發展，人工智能規模化建設和應用持續加速，人工智能安全風險日益凸顯，并不斷向物理世界和人類社會蔓延。保障人工智能應用安全可靠的需求日漸迫切。然而，現階段企業主要聚焦于人工智能技術研發和產品運營，在人工智能安全方面投入相對較少、基礎薄弱。而且，人工智能安全技術多處于學術研究和少量試驗試用階段，尚未形成適用于各類人工智能應用的成熟安全產品和服務體系。人工智能安全需求與企業安全投入不足以及人工智能安全產品服務欠缺之間的嚴重矛盾，成為制約人工智能產業健康發展的瓶頸問題。人工智能安全框架，不僅能為企業提供提升

13、人工智能安全能力的可參考路徑，指導企業合理進行人工智能安全資源投入，并能為人工智能安全技術研發提出方向建議，推動人工智能安全技術產品化和服務化。然而，目前全球尚未提出人工智能安全框架。而且，由于人工智能技術特點及安全風險與傳統信息系統存在顯著差異，現有網絡安全框架并不適用于人工智能應用。因而，本藍皮書聚焦人工智能安全風險，凝聚業界專家共識，構建人工智能安全框架。二、人工智能安全框架(一)設計思路1.框架范圍本人工智能安全框架聚焦于人工智能內生安全，即主要解決人工智能基礎設施和人工智能設計研發面臨的安全風險，以及因前兩方面安全問題直接引發的人工智能應用行為決策失控安全風險。對于因濫用或者惡意使用

14、人工智能應用而導致的物理世界和國家社會安全風險，主要由國家法律法規和行業監管政策對人工智能使用者予以規制。研發運營企業通過事前安全評估等內部管理機制可保障人工智能應用的目標符合國家法律法規和行業監管政策要求。2.設計原則企業保障其設計研發和運營使用的人工智能應用安全是人工智能安全治理的基石。人工智能安全框架應為企業不斷提升人工智能安全能力提供可遵循的迭代演進路徑。為此，人工智能安全框架應具有較強的實用性、整體性和前瞻性。3.核心要素基于人工智能安全框架應遵循的實用性、前瞻性和整體性原則，從以下三個方面構建人工智能安全框架。第一，明確人工智能安全目標是前提。目標的確定是一個根本問題，為人工智能安

15、全防護工作的實施指明方向。本框架通過全面分析人工智能應用面臨的安全風險，提出人工智能安全目標。第二，構建人工智能安全能力是關鍵。為實現人工智能安全目標，本框架以建設人工智能安全能力為導向，參考網絡安全滑動標尺，提出人工智能安全能力分級疊加演進模型。第三，部署安全技術措施和落實安全管理是重要保障。為幫助人工智能應用研發運營企業有效形成和持續提升人工智能安全能力，提出了支撐實現人工智能安全能力的人工智能安全技術體系和管理體系。綜上所述，人工智能安全框架的構建包含安全目標、安全能力、安全技術和安全管理四個維度，從四個不同的層面指導企業開展人工智能安全防護工作。(二)安全框架人工智能安全框架包含安全目

16、標、安全能力、安全技術和安全管理四個維度，如圖 5 所示。這四個防護維度基于自頂向下、層層遞進的方式指導企業構建人工智能安全防護體系。其中，設定合理安全目標是保障人工智能應用安全的起點和基礎，安全能力是實現安全目標的有效保障，安全技術和安全管理是安全能力的支撐和體現。安全目標：通過系統分析人工智能面臨的安全風險及其產生根源，從應用、功能、數據、決策、行為、事件六個方面提出安全需求和目標。安全能力：按照安全能力建設難度逐級遞增，以及安全資源投入產出比逐級遞減的方式，參照網絡安全滑動標尺模型，提出架構安全、被動防御、主動防御、威脅情報和反制進攻五級人工智能安全能力。前一級安全能力是構建后續級別安全

17、能力的基礎。其中第一級架構安全，旨在指導企業建立用安全思維規劃、設計、建設和使用人工智能應用的能力。第二級被動防御，旨在指導企業在人工智能應用之外部署靜態、被動式的安全能力。第三級主動防御，旨在指導企業強化人工智能安全團隊，實現動態、自適應、自生長的安全能力。第四級威脅情報，旨在指導企業獲取和使用人工智能安全威脅情報以賦能人工智能安全系統、設備和人員。第五級反制進攻，旨在指導企業建立針對人工智能惡意攻擊者的合法反制安全能力。安全技術：人工智能業務、人工智能算法、人工智能訓練數據和機器學習框架平臺是構建人工智能應用的四個核心組件，也是人工智能安全重點防護對象。因而，本框架針對業務、算法、數據和平

18、臺提出安全防護技術手段。安全管理：從國家和行業人工智能安全法律法規、行業政策、倫理規范、技術標準等要求出發，提出企業在人工智能安全組織、人員和制度等方面的實施要求。(三)框架分析（略）三、人工智能安全技術實施（略）四、人工智能重點應用安全防護實踐隨著人工智能安全風險日益凸顯，綜合運用各類快速涌現的人工智能安全技術保障人工智能應用安全的需求日漸迫切。在關乎人類生命安全、財產安全以及國家社會安全的部分領域，已探索開展了人工智能應用安全防護工作，例如自動駕駛、智能信貸風控和深度偽造已成為開展人工智能安全防護較為領先的三個領域。為便于企業借鑒已有人工智能安全防護經驗，本章詳細介紹上述三個領域人工智能安

19、全防護實踐情況。(一)自動駕駛安全防護1.安全風險自動駕駛作為汽車智能化和網聯化發展的高級形態，是人工智能與實體經濟深度結合的典型代表，已成為各國競相發力的重要方向。自動駕駛技術正重塑未來的出行方式，便利人們日常生活。目前，自動駕駛應用已在我國多地部署運營。2020 年 7 月，蘇州發布了全球首條城市微循環無人小巴市民體驗線路，落地了全國首個常態化運營的城市公開道路無人小巴項目。2020 年 10 月，百度自動駕駛出租車服務在北京全面開放，10 月 12 日單天呼單量突破 2600 單。安全出行是自動駕駛行業的首要原則。自動駕駛汽車是由云端服務、傳感器、計算單元、自動駕駛算法、底盤動力系統等構

20、成的一套復雜的系統。由于其眾多組件暴露出了大量攻擊面，帶來了嚴峻安全挑戰。根據風險來源不同，自動駕駛安全風險可分為傳統網絡安全風險以及人工智能安全風險兩類。傳統網絡安全風險主要有云服務安全風險、計算環境破壞、車云網絡通信安全風險和內部網絡通信安全風險。傳感器數據干擾和自動駕駛算法攻擊是突出的人工智能安全風險。2.安全防護自動駕駛汽車的任一部分受到攻擊都會危及整個系統的正常運行，單點防御策略很難保證自動駕駛整體安全性。因而需構建多層次的縱深防御技術體系，保障自動駕駛汽車安全行駛。百度針對自動駕駛安全防御提出并部署了包含云服務安全、外部通信安全、內部通信安全、計算環境安全、AI 算法安全、AI 業

21、務安全六個方面安全防護技術。本節重點介紹與人工智能安全風險相關的安全防御技術。(1)計算環境安全采用高質量且具有抗干擾能力的傳感器，可有效應對傳感器數據干擾攻擊。一是安裝具有電磁信號跳頻、編碼等特性的毫米波/超聲波傳感器和具有脈沖變頻、光波編碼等特性的激光雷達，提升抗干擾能力，增加攻擊難度。例如，Baraja 公司推出的下一代傳感平臺使用隨機調制連續波的激光雷達系統，可以阻擋環境光源的干擾。二是采用多源衛星接收機，提高傳感器抗干擾能力。在遇到 GPS 信號偽造攻擊時仍可以接收到其他衛星定位系統的信號。例如，百度自動駕駛系統 Apollo 推薦采用 Novatel PP7 多源接收機系統。三是對

22、 V2X 消息進行簽名驗證，識別真實的 V2X 消息，丟棄虛假消息，確保真實可靠。目前，我國已開展兩輪 V2X 安全消息一致性測試及示范活動，百度等自動駕駛頭部公司已實際部署 V2X 安全機制。(2)AI 算法安全防御為了防御針對自動駕駛算法的對抗樣本攻擊，在算法模型訓練數據集中引入對抗樣本，增強模型的魯棒性。與此同時利用模型加密、訪問限制等技術，保護模型的機密性，防止算法模型泄露。例如，百度自動駕駛系統 Apollo 采用了包含模型安全驗證、模型加固、對抗樣本檢測、模型魯棒性形式化驗證的一體化算法模型安全解決方案AdvBox。(3)AI 業務安全防御綜合運用降級預案、感知融合、關鍵數據運行記

23、錄等措施，實現自動駕駛的安全防御。降級預案：當自動駕駛系統檢測到攻擊后，如果系統無法安全處理，則啟動相應的熔斷或降級預案，降低攻擊造成的后果。例如，Waymo、百度等公司的自動駕駛車輛均設有一鍵停車按鈕，在遭受攻擊時可以降低車輛的安全風險。多感知融合：通過多傳感器感知算法融合，實現多感知算法識別結果相互交叉驗證，增強自動駕駛系統抗傳感器數據干擾能力。一是視覺感知和雷達感知的融合，即當一個傳感器采集數據被干擾后，感知算法仍能使用其他傳感器數據感知障礙物，確保自動駕駛汽車安全行駛。二是 V2X 消息、視覺感知和高精地圖的融合，即當交通標識被篡改后，仍然可以通過 V2X 或者高精地圖得到正確的交通標

24、識信息。三是衛星定位、慣導定位和環境特征定位的融合，即在 GPS 信號受到干擾時，仍可通過慣導定位、環境特征定位感知車輛的正確位置。例如，自動駕駛公司 DeepScale、視覺方案供應商 Mobileye 均專注于傳感器融合解決方案。大疆推出的 Mavic Air 通過多感知融合技術達到出色的定位效果。關鍵運行數據記錄：妥善保存自動駕駛汽車行駛過程中產生的關鍵數據，例如決策控制指令、車輛狀態信息等，有助于發生交通事故時還原事故現場，定位事故原因，判定責任主體。在自動駕駛汽車中安裝具有數據防刪除、防篡改、防偽造能力的數據記錄裝置，有助于確保記錄的關鍵數據安全可信。例如，配置自動駕駛系統的奧迪 A

25、8為車輛安裝了“黑匣子”，用以專門記錄駕駛權交接與機器警示駕駛接管全記錄，且會將記錄數據保存六個月，以此為法律上界定事故責任提供技術支撐。(二)智能信貸風控安全防護1.安全風險銀行信貸業務的風險管理核心在于構建風控模型，幫助銀行有效識別客戶信用風險以及欺詐行為。獲取多領域多維度高質量用戶數據對于建立識別客戶風險的風控模型是至關重要的。然而利用多源數據進行風控建模面臨諸多風險挑戰。一是數據泄漏風險。金融機構在構建或者優化信貸模型時通常會選擇與數據提供方聯合建模。由于傳統聯合建模方式至少需要一方數據出庫，即使金融機構和數據提供方選擇在中間方建立沙箱環境進行建模，也會存在拍照、截屏等低成本數據泄露安

26、全風險。二是數據孤島風險。信貸模型的建模通常需要征信、電商交易、銀行流水等多個領域的數據。然而，由于行業競爭、隱私安全、行政手續等壁壘問題，金融機構很難整合使用分散在各地、各機構的不同領域數據來訓練更好的信貸模型。三是安全合規風險。近年來，金融行業數據安全和個人信息保護的管理規范和技術標準日益完善。例如，金融科技（FinTech）發展規劃（2019-2021 年）移動金融基于聲紋識別的安全應用技術規范個人金融信息保護技術規范等對金融機構的數據收集、流轉、使用行為提出了全面詳細的安全要求，從業機構需快速適應新監管要求，確保業務安全性和合規性。2.安全防護為打通數據孤島、實現數據流動的價值，解決企

27、業之間數據合作過程中的數據安全和隱私保護問題，人工智能行業出現了多種數據安全防護方法，如螞蟻集團、騰訊、瑞萊智慧等在智能信貸風控場景已利用安全多方計算、聯邦學習、匿蹤查詢等技術打造數據安全共享基礎設施，將計算移動到數據端，實現數據可用不可見，并最終幫助用戶完成跨機構數據合作任務，驅動業務增長。主要的安全防護方法包括以下三方面：（1）安全多方計算安全多方計算提供參與計算的各方對敏感或強監管數據進行分布式安全查詢、統計和復雜計算的能力，在信任不足的情形下獲得數據合作計算的價值。安全計算底層主要借助秘密分享與同態加密算法實現，可實現在原始數據、數據來源不暴露的情況下獲取計算結果。例如，螞蟻集團推出了

28、螞蟻鏈摩斯大規模多方安全計算商用平臺，基于多方安全計算、區塊鏈等技術，解決企業數據協同計算過程中的數據安全和隱私保護問題。螞蟻鏈摩斯平臺已在金融風控、聯合營銷等場景中進行運用。（2）聯邦學習聯邦學習保證在各參與方自有原始數據不出庫前提下，兩方或多方通過加密機制進行參數交換，實現人工智能算法模型協同訓練與預測。金融機構在人工智能算法訓練過程中，不對外傳輸任何原始數據，杜絕數據泄露隱患，充分保護用戶隱私，確保數據協作合規性。（3）匿蹤查詢匿蹤查詢技術是基于半誠實對手的假設，利用不對稱加密、不經意傳輸等密碼學技術，通過隱藏被查詢對象關鍵詞或客戶身份信息，使數據服務方在提供匹配查詢結果的同時無法獲知具

29、體對應的個體信息。匿蹤查詢技術能夠在數據不出庫的同時支持多方聯合建模計算，從而更安全的服務于金融信貸場景。例如，富數科技推出了集成匿蹤查詢技術能力的企業級安全計算平臺 Avatar,目前已在銀行、保險、消費金融等領開展應用。(三)深度偽造應用安全防護1.安全風險2017 年，美國 Reddit 新聞網站上一位名為 deepfakes 的用戶上傳了經過技術篡改的色情視頻，將視頻中的演員人臉替換成電影明星的臉。由此“深度偽造（Deepfake）”技術引發人們關注。深度偽造技術不合理應用帶來的安全風險主要體現在以下三個方面。一是損害個體肖像權、名譽權與隱私權。隨著深度偽造技術開源代碼、APP 應用增

30、多，深度偽造技術門檻不斷降低。不法分子利用深度偽造技術制作虛假視頻，可能被用于誣陷、誹謗和報復他人的手段，侵犯個人肖像權、名譽權和隱私權。截至 2019 年 12 月，全網流傳的深度偽造視頻中，虛假色情內容占比高達 96%。二是助長網絡詐騙。傳統詐騙手段在深度偽造技術加持下更加猖獗。例如，非法人員利用人工智能技術將自己的聲音偽造成受害者信任人員的音色，通過語音聊天方式實施詐騙。2019 年德國某公司 CEO因虛假偽造語音電話被騙取 220,000 歐元。三是加劇網絡謠言傳播。深度偽造技術可被用于生產虛假新聞信息，成為網絡謠言生產工具，助長網絡謠言傳播，沖擊新聞媒體社會公信力。例如，2018 年

31、特朗普宣布美國退出巴黎氣候協定后不久，比利時某政黨制作了一段特朗普呼吁比利時仿效美國的虛假講話視頻。盡管視頻末尾注明了“這不是真的特朗普”，但該視頻仍在比利時引起軒然大波。2.安全防護(1)技術檢測針對深度偽造濫用的防御方法，首要是使用技術手段對虛假偽造圖像、視頻、音頻進行檢測。現階段學術界和工業界已經發布了多種針對深度偽造內容的檢測方法。早期深度偽造檢測方法大多采用基于人為設計特征的圖像取證技術。該類方法采用傳統信號處理技術，使用圖像頻域和統計特征區分偽造內容和真實內容，例如通過局部噪音分析、圖像質量評估、光照一致性等方法檢測識別復制-移動、拼接、移除等圖像篡改情況。深度偽造視頻本質是一系列

32、偽造圖片的時序組合，因而可以將圖像取證技術方法應用于深度偽造視頻檢測。例如加利福尼亞大學提出了一種用于檢測 Photoshop 修改人臉的方法，首先對輸入真圖自動生成假圖，然后利用標注好的假圖和真圖訓練分類網絡，從而實現在假圖中自動檢測篡改內容位置的目標。然而，隨著深度偽造技術的發展，合成內容效果越來越逼真，難以通過圖像頻域和統計特征實現對深度偽造合成內容的準確檢測。現階段深度偽造檢測方法主要采用基于深度神經網絡的偽造特征自動提取檢測技術。一是基于人臉檢測和人臉特征提取的深度偽造檢測方法。該類方法首先運用深度神經網絡實現人臉檢測和特征提取，然后利用篡改人臉特征和真實人臉特征的差異檢測人臉是否遭受篡改。二是基于圖像篡改痕跡的深度偽造檢測方法。該類方法利用深度神經網絡自主學習發現人臉篡改區域特征，并以此為依據實現偽造內容檢測。例如，北京大學和微