“大變活人”竟成金融犯罪“沃土”？

葛辛晶

一起人臉識別技術(shù)“漏洞”引發(fā)的特大稅案被廣泛關(guān)注。

日前，上海市虹口區(qū)人民檢察院公訴了一起特大虛開增值稅普通發(fā)票案。該案中，被告人通過破解人臉識別技術(shù)等方式，注冊“皮包公司”用于虛開金額超過5億元的增值稅普通發(fā)票。

30元就能買張“臉”

此案除了涉案金額龐大外，更引人深思的是其以人臉識別等前沿技術(shù)突破了法律的邊界，產(chǎn)生了重要的警示意義。犯罪嫌疑人的作案手法主要分為三個(gè)步驟：

首先，獲取人臉?biāo)夭摹７缸锵右扇藦摹昂诋a(chǎn)”處以每個(gè)30元的價(jià)格，收購大量用戶的高清頭像和身份證信息，而后使用AI“煥活”技術(shù)，讓照片“活靈活現(xiàn)”，完成轉(zhuǎn)頭、張嘴、眨眼等基本識別動(dòng)作，并制作成相應(yīng)的假視頻。

其次，要讓假視頻騙過手機(jī)的“眼”。犯罪嫌疑人事先在手機(jī)內(nèi)植入黑客程序，使得手機(jī)在人臉識別環(huán)節(jié)時(shí)，不僅不會(huì)打開前置攝像頭捕捉人像，還會(huì)讀取內(nèi)置的假視頻，進(jìn)而完成識別“錯(cuò)人”的鏈路。

最后，利用假身份注冊“皮包公司”并虛開發(fā)票。只要能騙過了手機(jī)的“眼”，犯罪嫌疑人便能輕松冒充辦事員在政務(wù)平臺上注冊“皮包公司”，并利用“皮包公司”的名義虛開增值稅普通發(fā)票非法牟利。

在本案中，多名犯罪嫌疑人構(gòu)成了專業(yè)化的犯罪團(tuán)伙，能以較為前沿的黑客技術(shù)劫持智能手機(jī)，突破終端手機(jī)的安防線，但同時(shí)，犯罪嫌疑人還交代稱，市場上充斥著大量的人臉假視頻制作、破解軟件等“黑產(chǎn)”分子，甚至只要花費(fèi)25-300元不等就能破解用戶常用App，涉及政務(wù)、安防、金融、支付、生活消費(fèi)等App。

此外，除了利用假視頻、破解技術(shù)開展虛開發(fā)票外，犯罪嫌疑人還注冊新賬號從事騙取各類App補(bǔ)貼優(yōu)惠等違法犯罪行為，在社會(huì)上造成了巨大的不良影響。

AI“活”臉

曾“引爆”社交媒體

數(shù)字化時(shí)代，AI發(fā)展水平穩(wěn)步提升，但當(dāng)AI與用戶數(shù)據(jù)、隱私等敏感信息或生物特征信息結(jié)合時(shí)，一場融合倫理、安全、流量的多元博弈藉此展開。結(jié)合上述案件，筆者不僅聯(lián)想到，“引爆”抖音、微博等社交媒體的“螞蟻呀嘿”系列短視頻。

在神曲“螞蟻呀嘿”的背景音樂下，被技術(shù)“煥活”的馬云、馬化騰、馬斯克、雷軍等知名人士，一起擠眉弄眼哼唱小曲。“螞蟻呀嘿”一炮打響后，吳京、甄子丹等一眾明星也紛紛參與其中，發(fā)布“自黑”式“螞蟻呀嘿”小視頻。

截至3月5日，抖音“螞蟻呀嘿”相關(guān)話題，播放總量已超29億次，特效被 785 萬人使用。

“螞蟻呀嘿”之所以成為現(xiàn)象級熱點(diǎn)，不僅是其“洗腦”、歡快的視頻風(fēng)格所致，還有其簡單的制作方法降低了網(wǎng)友的參與門檻。網(wǎng)友僅需下載一款名叫Avatarify的App，再搭載加速器即可滿足軟件要求，變身“換臉”大師，即在加速模式下打開Avatarify，而后選擇一張人臉照片，以及相關(guān)特效動(dòng)畫，點(diǎn)擊“生成”，再發(fā)布至社交媒體上即可。

在從眾效應(yīng)的帶動(dòng)下，越來越多的網(wǎng)友或博眼球、或喜逗樂、或蹭熱點(diǎn)，組成了社交媒體上的“螞蟻”大軍。然而，“螞蟻呀嘿”的熱潮僅持續(xù)了不到一個(gè)星期就被App store中國區(qū)等軟件下載平臺強(qiáng)制下架，抖音等媒體平臺上的熱度也漸漸消失不見。

“來也匆匆，去也匆匆”的“螞蟻呀嘿”，并不是國內(nèi)第一股AI“活”臉風(fēng)潮，早在2019年8月，換臉App“ZAO”也曾曇花一現(xiàn)，并最終因存在的數(shù)據(jù)泄露風(fēng)險(xiǎn)等網(wǎng)絡(luò)數(shù)據(jù)安全問題，相關(guān)負(fù)責(zé)人被工業(yè)和信息化部網(wǎng)絡(luò)安全管理局約談。

也許是互聯(lián)網(wǎng)沒有記憶，抑或是AI“活”臉深得網(wǎng)友喜好，以及產(chǎn)業(yè)背后利益實(shí)屬巨大，讓變臉視頻換了張“面孔”，披著“螞蟻呀嘿”營銷外衣再次卷土重來。

“過臉”黑客竟成“貴人”？

不管AI“活”臉系列軟件開發(fā)的初衷如何，都無法從用戶人臉信息安全的角度站穩(wěn)腳跟。畢竟有人想的是博眼球、蹭熱度，而有人卻想用技術(shù)來非法牟利、逃避監(jiān)管，并且在此基礎(chǔ)上，還延伸出終端入侵的黑客產(chǎn)業(yè)，其通過特定程序使刷臉終端自動(dòng)讀取內(nèi)置假視頻，逃避來自企業(yè)、軟件提供方等的監(jiān)管約束，這一行為在業(yè)內(nèi)俗稱“過臉”“臉識別”“掃臉”等。

“有的公司上班考勤要進(jìn)行人臉識別打卡，有員工為了逃避打卡，便以每月30元的費(fèi)用，委托黑客入侵打卡App，利用人臉識別漏洞來完成打卡。”一位網(wǎng)絡(luò)安防公司相關(guān)負(fù)責(zé)人透露。

目前，在QQ平臺上，存在著不少相關(guān)的聊天群。即使是普通用戶，要找到黑客也不難，而在群內(nèi)也時(shí)不時(shí)有人付費(fèi)邀請黑客破解支付軟件、打卡設(shè)備的人臉識別審核難關(guān)等。此外，群內(nèi)也有黑客在群內(nèi)交流、分享破解技術(shù)、資料等，以及批量販賣人臉信息的“料商”，其手上的人臉根據(jù)反復(fù)使用次數(shù)的多少而價(jià)格不等，易被攔截的“老臉”低至1元，撞庫捕捉的“新臉”超過800元，由此形成了一條完整的黑色產(chǎn)業(yè)鏈。

在高速發(fā)展的AI、相對寬松網(wǎng)絡(luò)環(huán)境下，“過臉”的門檻被大大降低。甚至，僅需要通過一兩款A(yù)pp就能自主完成假視頻的制作，而網(wǎng)上提供相關(guān)服務(wù)的App并不在少數(shù)，大部分App并未被下架，仍在App Store等軟件平臺上隨處可見，其中最常見的有“你我當(dāng)年”“活照片”“輕松換臉”等App。

由于業(yè)界的人臉識別技術(shù)主要是固定幾個(gè)方法，相似度很高。如果黑客提供一個(gè)專用于破解人臉識別的開源軟件，并在互聯(lián)網(wǎng)上廣泛流傳，那么犯罪分子利用漏洞進(jìn)行各類App實(shí)施違法犯罪將猶如“入無人之境”。

三力筑牢人臉“安全墻”

生物識別技術(shù)具有天然的不可篡改性，而人臉又較其他技術(shù)來得更易獲取。倘若人臉信息被被不法分子分析竊取并威脅到金融賬戶安全、個(gè)人名譽(yù)，難道后續(xù)用戶只能選擇整容嗎？近年來關(guān)于如何提高人臉安全的討論越發(fā)激烈，從產(chǎn)業(yè)各方到每一位普通用戶，應(yīng)如何加強(qiáng)人臉防護(hù)，合力筑牢人臉“安全墻”呢？

從設(shè)備、軟件等B端廠商的角度，當(dāng)務(wù)之急應(yīng)是查漏補(bǔ)缺。排摸國內(nèi)政務(wù)、安防、金融、支付、生活消費(fèi)等核心App應(yīng)用的相關(guān)漏洞，及時(shí)打上補(bǔ)丁，并提高風(fēng)控監(jiān)管的措施和力度，讓系統(tǒng)能在第一時(shí)間發(fā)覺不正常攻擊，進(jìn)而鎖定目標(biāo)，限制服務(wù)。

“手機(jī)廠商在寫入手機(jī)系統(tǒng)時(shí)可內(nèi)置安全模塊，防止黑客繞過手機(jī)攝像頭啟動(dòng)環(huán)節(jié)、對攝像頭實(shí)現(xiàn)劫持，從源頭上實(shí)現(xiàn)安全守護(hù)。”新華三集團(tuán)安全專家曹亮表示。

眼下軟件提供方大多將人臉識別作為唯一的驗(yàn)證方式，而魚龍混雜的人臉視頻市場亦加劇了相關(guān)風(fēng)險(xiǎn)的積累，因此軟件提供方應(yīng)擴(kuò)充驗(yàn)證環(huán)節(jié)的多重性，加載多模態(tài)生物識別或多環(huán)節(jié)認(rèn)證，提高認(rèn)證、審核環(huán)節(jié)的安防性。

從監(jiān)管者的角度，應(yīng)落實(shí)更為細(xì)化的行業(yè)標(biāo)準(zhǔn)，提高門檻。監(jiān)管機(jī)構(gòu)應(yīng)加速制定、落實(shí)人臉識別等生物識別技術(shù)的安全標(biāo)準(zhǔn)、行業(yè)使用規(guī)范、商業(yè)服務(wù)要求等監(jiān)管條例，在保證產(chǎn)品安全的基礎(chǔ)上，扣牢行業(yè)參與者頭上的“緊箍咒”。

目前，歐美多地針對人臉識別技術(shù)出臺禁令，其中歐盟的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR）被譽(yù)為史上最嚴(yán)數(shù)據(jù)保護(hù)條例。

“我國國內(nèi)現(xiàn)有的法條并沒有給涉及收集處理相關(guān)數(shù)據(jù)的企業(yè)造成足夠的合規(guī)壓力。”全國政協(xié)委員、民進(jìn)上海市委專職副主委胡衛(wèi)表示。從20世紀(jì)90年代起，我國從民事、刑事等角度陸續(xù)出臺了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《消費(fèi)者權(quán)益保護(hù)法》《網(wǎng)絡(luò)安全法》等條款，其中往往缺乏對于如何監(jiān)管及處置企業(yè)侵害公民個(gè)人信息、如何開展個(gè)人信息分級分類保護(hù)等問題的實(shí)施細(xì)則。

2020年10月21日，《個(gè)人信息保護(hù)法（草案）》公開征求社會(huì)公眾意見，雖然管理?xiàng)l例及對應(yīng)的處罰力度上有了一定的提升，但其中部分條款的可操作性仍需進(jìn)一步明確。“每個(gè)行業(yè)也有各自特性，對數(shù)據(jù)敏感程度不一，未來各部門、各地方政府結(jié)合各自特征再推出細(xì)化的規(guī)章制度或許是更符合現(xiàn)實(shí)的考量。”全聯(lián)并購公會(huì)信用管理專業(yè)委員常務(wù)副主任劉新海表示。

從用戶的角度，提高個(gè)人數(shù)據(jù)安全防護(hù)意識。2020年11月，網(wǎng)上曾瘋傳一則視頻，視頻中一男子為了保護(hù)個(gè)人信息，戴著頭盔去售樓處看房。此舉的初衷是因某售樓處向未被人臉識別系統(tǒng)記錄過的新購房者提供購房優(yōu)惠。此外，類似線下商戶人臉殺熟案例比比皆是，今年“3·15”晚會(huì)上，科勒衛(wèi)浴、寶馬、港匯恒隆Max Mara等多家知名品牌門店便榜上有名。

在此，我們姑且不論售樓處等線下商戶安裝人臉識別系統(tǒng)是否合法合規(guī)，僅從用戶的角度來看，我們需要建立健全的個(gè)人數(shù)據(jù)防護(hù)意識，拒絕被動(dòng)地在不熟悉、不可信的刷臉終端地上“到此一游”。同時(shí)，也要盡量避免使用非大型企業(yè)背書的刷臉應(yīng)用、刷臉環(huán)節(jié)，以防人臉信息被不正規(guī)廠商私自保存、使用、販賣等。

安全，是人臉識別等AI技術(shù)被廣泛應(yīng)用的根本，當(dāng)AI技術(shù)帶動(dòng)智能產(chǎn)業(yè)欣欣向榮時(shí)，背后的博弈亦開始啟動(dòng)。當(dāng)技術(shù)被應(yīng)用于合理的途徑，則能加速產(chǎn)業(yè)鏈轉(zhuǎn)型腳步，提升用戶體驗(yàn)，但當(dāng)其落入不法分子之手后，就可能釋放更嚴(yán)重的負(fù)面影響，因此，正確駕馭技術(shù)為產(chǎn)業(yè)賦能，為民造福的路，任重而道遠(yuǎn)，著眼腳下，查漏補(bǔ)缺，居安思危需要當(dāng)下我們每一個(gè)人，每一方市場力量的努力。