在ckHat大会上,全球黑客一致认为人脸识别技术是最不可靠的身份认证方法。然而,随着AI技术的进步,我们已经有了几乎完美的替代方案来替换人脸,因此普通的视觉人脸识别无法提供足够的安全保障。因此,更多的识别方需要升级算法技术来识别和阻止深度伪造内容。
对于AI换脸的风险,用户除了保护好自己的隐私生物特征数据外,能做的确实不多。以下是一些建议:
1) 谨慎使用人脸识别应用
在选择使用人脸识别应用时,用户应选择那些有良好安全记录和隐私政策的应用程序。避免使用未知来源或安全性存疑的应用,并定期更新软件以确保使用最新的安全补丁。之前国内有很多小贷公司App就违规使用用户的人脸数据倒卖,泄露用户人脸数据。
2) 了解多因素认证(MFA)
单一的生物特征认证存在较大风险,因此结合多种认证方式能够显著提升安全性。多因素认证(MFA)结合了多种验证方法,例如指纹、虹膜扫描、声纹识别,甚至是DNA数据。对于识别方而言,这种组合认证方式能够在一个认证方法被攻破时,提供额外的安全层。对于用户来说,保护自己这方面的隐私数据同样很重要。
3) 保持怀疑谨防诈骗
由于人脸和声音都可以被AI模仿,冒充一个人变得简单了很多。用户应特别警惕涉及敏感信息或资金转移的请求,采取双重验证,通过电话或面对面确认对方身份。保持警惕,不轻信紧急要求,识别假冒高管、熟人、客服等常见诈骗手段。如今甚至有很多假冒名人的情况,参与一些项目也要小心提防”假站台”。
OKX Web3钱包安全团队表示,新兴的虚拟技术带来了新的风险,而这些新的风险也催生了新的防御手法研究,进而产生了新的风险控制产品。
首先是AI伪造风险。在AI换脸领域,已经出现了许多自动检测虚假人物视频的产品,这些产品侧重于检测使用deepfake技术产生的独特元素(指纹),用户也可以通过观察面部特征、边缘处理、音画不同步等方式识别出AI换脸。此外,微软也推出了一系列工具以提升用户对deepfake的识别能力。
其次是数据与隐私风险。大型模型的应用在各个领域引发了用户数据和隐私的风险。在使用对话机器人时,用户应注意保护个人隐私信息,尽量避免直接输入私钥、密钥、密码等关键信息,可以通过替代、混淆等方法隐藏关键信息。对于开发者来说,GitHub提供了一系列友好的检测工具,如果提交的代码中存在OpenAI API密钥或其他有风险的隐私泄露,相应的推送将报错。
另外是内容生成滥用风险。用户可能会遇到许多由大型模型生成的内容,虽然这些内容有效,但滥用内容生成也带来了虚假信息和知识版权问题。现在已经出现了一些用于检测文本内容是否为大型模型生成的产品,可以降低相应的风险。开发者在使用大型模型生成代码时,也应关注生成代码功能的正确性和安全性,对于敏感或需要开源的代码,必须进行充分的审查和审计。
最后,用户在日常浏览短视频、长视频和各种文章时,应有意识地判断和识别可能的AI伪造或AI生成的内容,例如常见的解说男音、女音、读音错误以及常见的换脸视频,在关键场景下要有意识地判断和识别这些风险。
从物理设备安全的角度来看,一、OKX Web3 APP层面,加固了App的安全性,采用了算法混淆、逻辑混淆、代码完整性检测、系统库完整性检测、应用防篡改以及环境安全检测等多种手段,最大程度上降低了用户在使用App时遭受黑客攻击的概率。在Web3钱包数据安全层面,采用了最先进的硬件安全技术,利用芯片级加密手段对钱包中的敏感数据进行加密,并将加密数据与设备芯片绑定,即使加密数据被盗,任何人也无法解密。
二、用户层面,建议用户加强对物理设备的安全意识。对于硬件钱包,建议使用知名品牌的硬件钱包,从官方渠道购买,并在隔离环境中生成和存储私钥。存储私钥的介质应防火、防水、防盗,可以使用防火防水的保险柜,将私钥或助记词分散存储在不同安全位置以提高安全性。对于电子设备,建议选择安全性和隐私性较好的品牌,减少安装不必要的应用软件,保持纯净的系统环境。在日常使用中,避免在公共场合进行钱包设备敏感操作,定期使用可靠的杀毒软件对设备环境进行查杀,定期检查物理设备存放位置的可靠性。
最后,感谢大家阅读OKX Web3钱包安全团队的《安全特刊》栏目第04期。我们正在为第05期内容做紧密准备,内容将包括真实案例、风险识别以及安全操作干货,请大家期待!
免责声明:本文仅供参考,不提供投资建议、购买、出售或持有数字资产的要约或招揽,也不提供财务、会计、法律或税务建议。持有数字资产涉及高风险,可能会大幅波动甚至变得毫无价值。您应根据自己的财务状况仔细考虑交易或持有数字资产是否适合您,自行了解和遵守当地适用的法律和法规。