21世紀經濟報道見習記者 郭聰聰 北京報道

　　人工智能技術廣泛應用于金融領域，在提高金融服務效率和質量的同時，其黑暗面也日漸顯現。由人工智能技術演化而來的Deepfake（深度偽造）技術欺詐日益猖獗，奇安信集團發布的《2024人工智能安全報告》中顯示，在2023年，基于AI的深度偽造欺詐暴增了3000%。在這過程中，首當其沖的就是廣泛適用“人臉識別”系統的金融行業。

　　為提升金融信息系統的安全性，9月6日北京國家金融科技認證中心聯合10多家金融機構發布的《虛假數字人臉檢測金融應用技術規范》（下稱《應用規范》）正式施行。《應用規范》規定了面向金融領域應用的虛假數字人臉檢測服務的技術框架、功能要求、性能要求等，并提出對應的測試評估方法，為金融機構防御虛假數字人臉攻擊提供了重要參考，這是國內首個面向Deepfake進行安全檢測的標準。

　　Deepfake正在沖擊銀行“人臉識別”系統

　　Deepfake由“Deep learning”和“fake”組成，最早出現在 2017 年。其名稱最初源于一個名為“Deepfakes”的用戶在Reddit社交網站上，發布了一系列名人的深度偽造視頻，并聲稱這是一個新的合成技術。

　　作為一種新興的黑產攻擊手段，Deepfake能夠快速學習被仿冒者的樣貌及聲音，十分狡猾且具迷惑性，在其背后支撐的是日益精進化的人工智能技術。在金融賬戶開戶、賬戶登錄、移動支付、理財保險身份鑒別等各種金融應用場景中都需要“人臉識別”的今天，Deepfake對“人臉識別”系統的攻擊給金融行業帶來了巨大的潛伏風險。

　　就以銀行業為例， Deepfake就成為了攻擊銀行外圍防火墻的工具。通常銀行網上銀行的登錄系統往往需要個人信息、驗證碼、密碼與人臉識別，作為最后一層保障，人臉識別系統正在面臨Deepfake的沖擊。

　　今年2月，國外某安全公司就發現了名為“GoldPickaxe”的惡意手機木馬軟件。不同于傳統的竊取資金方式，不法分子通過該木馬軟件竊取手機使用者的面部肖像等生物識別數據、攔截短信等，繼而偽造人臉動態視頻，登錄用戶的銀行賬號進行轉賬、消費、修改賬號密碼等操作。目前，GoldPickaxe木馬病毒活躍在越南和泰國，支持iOS和Android版本，十分值得警惕。

　　本報記者也曾對國內部分銀行的手機銀行展開了一次Deepfake測試。利用Deepfake技術，持卡人的肖像特征被抓取，再通過技術合成到非持卡人的面龐之上，非持卡人能夠順暢的以持卡人的面容執行“張嘴、點頭、搖頭”等指令，不過并未能突破銀行的防御機制。但實現這一操作，僅拿到持卡人的一張照片就可做到。

　　國內首個金融領域“Deepfake”檢測標準

　　中信銀行信息技術管理部創新科學家張然是《應用規范》的起草者之一，在接受本報記者采訪時他提到：“《應用規范》是國內金融領域首個虛假數字人臉檢測標準，實現了從0 到1的突破，是數字金融方向的重要研究成果。該標準目前屬于團體標準，但在未來將在此標準的基礎上申請國家標準及國際標準。”

　　該標準的核心特點在于其為金融領域的虛假數字人臉檢測提供了系統化的技術框架、功能要求、性能評估方法等，專門針對通過生成式人工智能、深度偽造等技術制作的虛假人臉內容進行檢測。

　　同時，《應用規范》注重識別不同類型的虛假人臉內容，包括圖像、視頻等形式，提出了基于深度學習、卷積神經網絡等技術的檢測方法，并強調了對檢測準確性、魯棒性和泛化性的全面評估（如下圖）。

（虛假數字人臉檢測金融應用技術框架）

　　張然在介紹《應用規范》的具體應用場景時提到，《應用規范》在身份識別、交易驗證的場景中均制定了相應評估方法。

• 身份識別。在金融機構進行開戶或身份驗證時，虛假數字人臉檢測技術可以有效識別使用虛假數字人臉企圖冒用他人身份的行為。通過檢測虛假面部特征，系統可以準確判斷并拒絕虛假的開戶申請。
• 交易驗證。在高額交易中，特別是涉及遠程身份驗證時，該技術可以通過實時視頻對話或者圖像驗證用戶身份，防止惡意攻擊者使用虛假人臉視頻進行交易驗證，從而提高金融交易的安全性。

　　在談到《應用規范》對于銀行業的影響時，張然說：“銀行業對于《應用規范》的反饋很好，工商銀行、建設銀行、郵儲銀行等銀行將參與應用。”

　　張然表示，該標準的應用將持續提升銀行業在防范虛假身份認證和金融欺詐方面的能力。虛假數字人臉檢測技術可以有效抵御深度偽造等技術的攻擊，確保用戶身份的真實性，保護銀行系統免受偽造人臉攻擊的威脅。此外，通過這種技術的應用，銀行可以進一步優化遠程服務和數字化交易的安全性，為用戶提供更安全的線上金融服務體驗。

海量資訊、精準解讀，盡在新浪財經APP

責任編輯：王馨茹