美容滤镜可能成为潜在的深度伪造攻击工具

美容滤镜现在不仅可以隐藏瑕疵，还可以帮助深度伪造和面部变形绕过检测系统。最新研究表明，即使是微妙的光滑效果也会让人工智能检测器混淆，使假图像看起来真实，真实图像看起来假。如果这种趋势继续，美容滤镜可能会在高风险的环境中面临限制，从边境控制到企业的Zoom会议。

2024年，西班牙和意大利的研究人员在一项学术合作中报告称，18-30岁的女性中有90%在社交媒体上发布图像前使用美容滤镜。在这种意义上，美容滤镜是算法或人工智能辅助的方法，用于改变面部外观，使其看起来比原始图像更好。

2024年研究：女性（左）和男性（右）面部在美容滤镜前后的对比。滤镜改变了皮肤色调、眼睛、鼻子、嘴唇、下巴和颧骨等特征，以增强外观吸引力。来源：https://arxiv.org/pdf/2407.11981

此类滤镜也广泛应用于流行的视频系统中，包括Snapchat和Zoom，提供了平滑“不完美”皮肤甚至改变年龄的功能，甚至可以改变身份。

点击播放：三位女性关闭视频“美化”滤镜，揭示算法或人工智能改变她们面部的程度。来源：https://www.youtube.com/watch?v=gtCpea_5qxw

2020年，伦敦城市大学的一项研究发现，美国、法国和英国的年轻Snapchat用户中有90%使用过滤镜，而Meta报告称，超过6亿年轻人在Facebook或Instagram上使用过滤镜。

探讨此类滤镜对心理健康的负面影响，Psychology Today的一份报告指出，研究对象中90%的年轻女性（平均年龄20岁）要么使用滤镜，要么以某种方式编辑他们的照片。最受欢迎的滤镜是那些用于均匀皮肤色调、给予晒黑外观、美白牙齿和减少体型的滤镜。

面对面

随着面部滤镜即将从2025年的视频合成革命和该研究领域的持续兴趣中受益，人们可以在直播视频聊天中“重现”或重新想象自己的程度越来越多地与安全社区关于欺诈或犯罪深度伪造视频技术的担忧相冲突。

一个问题是，近年来开发的“简单”测试，用于揭示视频深度伪造者，可能会在训练数据和推理时变得越来越无效，因为这些弱点在训练数据和推理时被考虑在内。

点击播放：几年前，挥手在深度伪造面前是一个可靠的测试，但我们可以看到TikTok等平台正在使这些“线索”变得不那么明显。来源：https://archive.is/mofRV#wavehands

更关键的是，广泛使用面部改变/美化滤镜使得新一代深度伪造检测器难以区分真假图像，因为这些滤镜会去除或扭曲检测模型依赖的线索。

例如，如果图像分辨率较低或图像被降级，伪造系统可以将其自身的缺陷隐藏在看似连接或平台问题的后面。

实际上，流行的美化滤镜会去除一些有助于识别视频深度伪造的最有用材料，例如皮肤质地和其他面部细节——值得考虑的是，年龄越大，面部细节越多，因此使用美化滤镜可能会特别诱人。

如果没有细节的“机器人”风格是流行趋势，深度伪造检测器可能会缺乏区分真假图像和视频人物的材料。来源：https://www.instagram.com/reel/DMyGerPtTPF/?hl=en

皇家学会2024年的一篇论文《美即善：美容滤镜时代的吸引力光环效应》确认，滤镜的使用普遍增加了男女的吸引力，尽管美容滤镜后的女性的智力估计会降低。

因此，可以说这是一个流行的技术；它有效；如果它突然受到安全限制或在各种情况下被禁止，将会是一个文化冲击。

然而，在视频深度伪造可能变得无法区分于真实视频参与者的时代，美容滤镜的全球“噪音”可能需要在安全原因上被减轻。

光滑的犯罪者

这个问题最近在意大利卡利亚里大学的一篇新论文中被调查，题为《欺骗性的美丽：评估美容滤镜对深度伪造和形态攻击检测的影响》。

在这项研究中，研究人员将美容滤镜应用于两个基准数据集的面部，并测试了几种深度伪造和形态攻击检测器在原始和修改后的图像上的性能。

在几乎所有情况下，检测准确率都会随着美化的增加而降低；最显著的下降发生在滤镜平滑皱纹、亮化皮肤色调或微妙地改变面部特征时。这些变化去除了或扭曲了检测模型依赖的线索。

例如，MorphDB上的最佳模型在滤镜后准确率下降了9%，这个问题在多个检测架构中都存在，表明当前系统对常见的化妆增强并不稳健。

作者得出结论：

‘美化滤镜对生物识别认证和法医分析系统的完整性构成威胁，使得在此类条件下开发对此类微妙、非恶意改变更为稳健的深度伪造和形态攻击检测系统至关重要。 ‘

‘未来的工作应该优先考虑开发对此类微妙、现实世界的改变更为稳健的数字操纵检测系统，无论是否恶意，以确保在日常和安全关键环境中可靠的身份识别和内容验证。 ‘

方法和数据

为了评估美容滤镜如何影响深度伪造和形态攻击检测，研究人员应用了一种渐进的平滑滤镜，并在两个基准卷积神经网络（CNN）上测试了结果，这两个网络与目标问题密切相关：AlexNet和VGG19。

每个网络都在数据集的80%上训练，剩下的20%用于验证。为了测试对美化的稳健性，研究人员然后将一个渐进的平滑滤镜应用于测试图像，增加模糊半径从3%到5%的面部高度。

CelebDF（上）和AMSL（下）数据集中的示例面部，在应用了基于平滑的美容滤镜之前和之后。滤镜半径相对于面部高度进行缩放，c = 3%和c = 5%产生了逐渐增强的效果。

关于指标，每个模型都使用原始和美化测试样本的均等错误率（EER）进行评估。分析还报告了真实呈现分类错误率（BPCER）或假阳性率和攻击呈现分类错误率（APCER）或假阴性率，使用在原始数据上设置的阈值。

来自AMSL数据集的形态面部。

为了进一步评估性能，研究人员检查了ROC曲线下的面积（AUC）和真实和假图像的得分分布。

测试

在深度伪造检测结果中，两个网络都显示出随着美化强度增加而上升的均等错误率。AlexNet的EER从原始图像的22.3%上升到最高平滑度的28.1%，而VGG19的EER从30.2%上升到35.2%。性能下降遵循不同的模式。

使用AlexNet和VGG19在CelebDF数据集上进行深度伪造检测结果。两个模型都在原始和美化图像上进行了测试，具有增加的面部平滑度。显示的指标包括均等错误率（EER）、真实呈现分类错误率（BPCER）和攻击呈现分类错误率（APCER），使用从原始测试集中固定的阈值。检测准确率随着美化强度的增加而降低，尽管降低模式在架构之间有所不同。

随着美化的增加，AlexNet变得更有可能将真实面部误认为是假的，表现为假阳性率（BPCER）的稳步上升。另一方面，VGG19在识别假面部方面遇到了更多困难，表现为假阴性率（APCER）的增长。两个模型对滤镜的反应不同，表明即使是众所周知的架构也可能以不同的方式失败，当面临化妆改变时。

为了更好地理解这些结果，研究人员将美化滤镜分别应用于真实和假图像，并测量了对检测性能的影响。这个细分，如下表所示，阐明了每个模型的脆弱性来源。

AlexNet和VGG19在CelebDF数据集上部分美化的检测准确率。表格报告了三个场景：美化的真实图像与美化的假图像（F-Real vs F-Fake）；美化的真实图像与原始假图像（F-Real vs O-Fake）；以及原始真实图像与美化的假图像（O-Real vs F-Fake），准确率的降低表示检测器性能的降低。AlexNet在美化的真实图像上受到的影响最大，而VGG19在美化的假图像上遇到了更多困难。

对于AlexNet，当真实图像被美化时，检测性能会下降，但当只有假图像被平滑时，性能会改善。对于VGG19，当真实图像被美化时，性能会略微改善，但当深度伪造被过滤时，性能会恶化。在所有情况下，更强的美化都会降低准确率。

AlexNet和VGG19在CelebDF数据集上的真实和假样本的输出得分分布盒图，在增加的美化水平下。随着平滑的加剧，真实和假图像的得分分布变得不那么可区分，表明检测可靠性降低。AlexNet变得不那么自信地识别真实面部，而VGG19变得更有可能误分类假面部。

美化使AlexNet的输出得分在真实和假样本上变得更加均匀，而VGG19在每个类别内显示出更大的得分分布。尽管这些效果对得分变异性有所不同，但两个模型都失去了准确率。对于AlexNet，真实面部的得分向深度伪造的得分靠近。对于VGG19，真实和假图像的得分开始重叠，降低了模型区分它们的能力。

该论文指出：

‘这些结果有重要的影响，并表明在深度伪造检测中考虑美化滤镜的潜在使用是必要的，因为这些滤镜可能对性能产生不可预测的影响。特别是，不同的架构对面部操纵的反应不同，即使这些操纵不是为了欺骗。 ‘

‘例如，基于特定的深度伪造检测器，美化滤镜可能会显著改变输出，使真实图像被识别为假图像，并且更关键的是，允许深度伪造欺骗检测。 ‘

‘因此，开发对此类微妙、非恶意改变更为稳健的检测器是必要的，这些改变可能作为恶意深度伪造操纵的伪装。 ‘

在形态攻击场景中，通过混合两个个体的面部特征创建了一幅合成图像。这种图像用于欺骗面部识别系统，使两个源身份都可以被验证为同一个人。这种攻击在安全环境中尤其相关，因为生物识别系统可能会被误导为接受形态图像作为官方身份验证。

AMSL图像在美化前后的形态攻击检测结果。两个网络都显示出随着平滑强度增加而错误率的急剧增加。

在形态攻击场景中，性能下降更为明显。AlexNet的EER从27.6%上升到41.2%，VGG19的EER从19.0%上升到37.3%，主要是由于真实面部被误分类为形态的假阳性增加。3%的平滑半径下，VGG19的假阳性率达到90%。

这种模式在滤镜被选择性应用时仍然存在。平滑真实面部会降低检测性能，而平滑形态面部会改善结果。随着平滑的加剧，两个网络都显示出真实和假得分之间的分离度降低，VGG19变得尤其不稳定。

这些发现，作者指出，表明美容滤镜可能比深度伪造更能帮助形态攻击避免检测，引发了严重的安全问题。

AlexNet的分类如何因最小的美化（3%的平滑半径）而改变。左边，真实图像在过滤后被误分类为攻击，右边，形态图像在过滤后被误分类为真实。

最后，研究人员发现，即使是轻微的美化滤镜也会显著降低最先进的深度伪造和形态攻击检测器的性能。影响因架构而异，AlexNet表现出渐进式的下降，而VGG19在最小的过滤下就会崩溃。由于这些滤镜很常见且不是本质上恶意的，它们能够隐藏攻击构成了一个实际的威胁，特别是在生物识别系统中。该论文强调了开发对此类微妙图像操纵更为稳健的检测模型的必要性。

结论

训练深度伪造检测系统忽略美化滤镜的一个原因是缺乏对比材料；最终，广泛传播的版本是“美化”后的版本，而且“前”图像很少被应用，例如我们之前嵌入的视频作为示例。

另一个障碍是许多滤镜执行的平滑操作类似于保存图像或压缩视频时的压缩操作（这对提供商的带宽是一个福音，也是使用滤镜的人的数字皮肤美容）。

深度伪造检测研究领域已经深入地致力于解决由于诸如低质量相机、过度压缩或网络连接不良等问题引起的图像降级问题——所有这些条件都有利于深度伪造诈骗者，他们在高质量、高分辨率的场景中必须努力更多。

美容滤镜是否最终会因安全问题而受到威胁，可能取决于它们在多大程度上阻碍了深度伪造检测方法，或者最终是否会成为一种事实上的防火墙，更多地造福恶意者而不是那些与他们作斗争的人。

首次发布于2025年9月24日星期三