公安部網安局24日通報,近期警方偵破一起利用“AI換臉”突破相關互聯網平臺人臉識別認證機制侵犯公民個人信息案件,以及一起利用“AI換臉”非法侵入計算機信息系統案件,多名犯罪嫌疑人落網。

“AI人臉”突破了人臉識別驗證

經浙江杭州警方偵查,涉案人員利用生成式人工智能深度合成技術偽造“AI人臉”,突破平臺人臉識別認證機制,非法竊取公民個人隱私數據。犯罪團伙利用某即時通訊平臺招攬生意,宣稱可承接互聯網平臺特定用戶數據的“查細”業務。接單后,團伙成員偽造受害者人臉驗證視頻,突破相關頭部平臺登錄認證,強制登錄受害者賬號竊取信息。

警方現已抓獲4名犯罪嫌疑人,查獲一批被非法強制登錄的網絡賬號。該案中,犯罪團伙、互聯網平臺、個人信息買家均需根據具體行為承擔刑事、行政及民事責任:實施犯罪的團伙利用“AI換臉”突破互聯網平臺認證機制,非法獲取公民個人信息并出售的行為,涉嫌非法獲取計算機信息系統數據罪、侵犯公民個人信息罪,情節特別嚴重的,可處3年以上7年以下有期徒刑,并處罰金;互聯網平臺未采取有效措施保護注冊用戶個人信息,導致用戶個人信息泄露,可能面臨連帶的行政處罰和民事賠償;買家出于各種目的非法購買他人信息的行為,可能涉嫌非法獲取公民個人信息、侵犯公民個人隱私的違法行為。

“你們公眾號怎么開始推薦投資理財APP了?”另一起案件中,某機構工作人員像往常一樣打開公司公眾號評論區,卻被一連串粉絲留言驚出一身冷汗。工作人員急忙查看公眾號文章,發現原本精心運營的賬號,不知何時竟發文稱即將停更,并號召粉絲關注另一個投資理財類的賬號。工作人員嘗試登錄賬號后臺,發現密碼已被修改,連公司法人代表信息都被篡改。

武漢網警調查發現,被盜的社交媒體賬號不僅認證信息被篡改,登錄密碼也已被更換,背后操作痕跡指向一套成熟的“AI換臉”技術。專案組順線追蹤,鎖定犯罪嫌疑人阿成(化名)后,赴山東濰坊實施抓捕,對其住所搜查發現大量AI換臉視頻素材。阿成卻狡辯“我就是個美工,幫人做點圖,怎么就違法了”,自己只是“按上線要求干活”。但民警很快掌握相關證據,同時發現其賬戶內價值40余萬元來自AI換臉“接單”的非法獲利。最終阿成交代,自己負責完成AI換臉驗證操作,3名上線則負責承接“人臉代過”需求、轉交人員信息,并從中牟利。

警方介紹,在灰產鏈條中,犯罪團伙在受害人不知情的情況下,篡改企業法人信息,對企業進行非法控制。目前,阿成等4人均被依法采取刑事強制措施。

平臺現有認證方式存在三大風險

當前,互聯網平臺的登錄認證方式主要有賬號密碼登錄、手機驗證碼登錄、第三方平臺授權登錄三種。此外,為保證用戶體驗,平臺還會開通人臉登錄方式,當用戶忘記賬號密碼,且手機遺失、收不到驗證碼,或無法使用前三種登錄方式時啟用。

警方指出,現有的認證方式存在以下風險:一是過往公民個人信息的泄露導致基于“姓名+身份證件號碼+人臉”的認證機制更易被犯罪團伙突破,互聯網平臺為開展身份認證收集公民個人信息的行為也增加了個人信息泄露風險;二是隨著生成式人工智能的快速發展,深度偽造技術的更新迭代遠超安全防護升級節奏,視頻生成工具制作出的動態人臉視頻的生物特征不斷接近真人,導致人臉識別認證的安全性降低;三是互聯網黑灰產團伙已形成完整的犯罪生態鏈,一旦頭部互聯網平臺出現認證漏洞,即可通過第三方授權登錄其他平臺,嚴重危害公民的個人信息安全。

網警就此提示,各互聯網平臺應主動采取更有效的技術措施,防范網絡犯罪及黑灰產團伙的持續性攻擊。

更多熱點速報、權威資訊、深度分析盡在北京日報App

來源:北京日報客戶端

如遇作品內容、版權等問題,請在相關文章刊發之日起30日內與本網聯系。版權侵權聯系電話:010-85202353