写在前面的话

目前，威胁行为者正在广泛使用深度伪造技术并结合其他验证绕过技术来破坏我们对互联网现有身份验证机制的信任，而这种行为将导致一系列网络欺诈活动的出现。那么问题来了：去中心化的身份验证真的能拯救我们吗？

“信任”这个词已经深深根植于我们的心中，虽然你可能没有意识到，但如果没有了信任，我们将难以开展社会的生产和生活工作。比如说，当你要去赶火车时，你的潜意识里会相信火车肯定会出现。如果你上网买了一件商品，你也会相信这个商品会在一定时间内送到你的手上。在如今的社会中，信任已经成为了我们生活中固有的东西，以至于我们甚至都不会注意到它，直到信任坍塌！

确保和维护信任的稳定，是人类社会几千年来演变过程中的潜在任务。信任的重要程度毫无疑问，以至于可以将其描述为社会合作、公平和诚实的基础。

在数字世界中，信任已成为一个与现实世界一样重要的问题。随着深度伪造技术的出现，数字世界里的信任将受到强烈冲击，尤其是基于深度伪造技术的身份验证滥用行为。有些研究人员可能会认为，去中心化能够帮助我们解决深度伪造和信任问题，但真的是这样的吗？

深度伪造技术是什么？

深度伪造，及Deep Fake，又名深度造假，专指基于人工智能的人体图像合成技术的应用，。以制造假新闻或各类欺诈性视频。此技术可利用生成式对抗网络的机器学习模型将已有的图像或视频叠加至目标图像或视频上，借助神经网络技术进行大样本学习，将个人的声音、面部表情及身体动作拼接合成虚假内容的人工智能技术。

其常见应用场景为AI换脸技术、语音模拟、人脸合成和视频生成等，它的出现使得篡改或生成高度逼真且难以甄别的音视频内容成为可能，观察者最终无法通过肉眼明辨真伪。

信任在数字世界中的重要程度不言而喻

互联网从很久以前开始就已经成为了我们生活中不可或缺的一部分，但信任在数字世界中似乎变得越来越模糊了。Peter Steiner曾于1993年7月5日在《纽约客》杂志上发表了一个标题为《在互联网上，没有人知道你是一只狗》的漫画。三十多年后的今天，甚至连狗的身份都会受到怀疑，因为它很可能就是深度伪造技术的产物。

自互联网技术诞生之日起，无数研究人员就开始了针对信任的技术尝试。随着数字证书和加密技术的出现，再到后来为互联网通信提供基础设施的底层协议（例如TCP/IP、DNS和HTTP/S）诞生，这些内容都逐步发展成了互联网通信正常运转的关键因素。

很明显，互联网也需要信任，而且是非常需要，因为它在我们的生活中已无处不在。协议设计者和开发人员仍在努力确保软件和计算机系统之间的通信建立在技术信任层的基础上，并将加密、数字签名和身份验证看作是数字世界中信任的代理。然而，数字世界发展到了今天，信任也开始和人性有关了，技术层面的信任似乎只能走到这里了。这也是网络钓鱼和社工技术能够获得现有“成就”的原因之一。比起通过技术来破解加密数据，欺骗目标用户直接将数据给你“双手奉上”，似乎是一个更好的方法。

毫无疑问，深度伪造技术会演变成新一代的社工技术，但更重要的是，这种技术也可以欺骗现有的身份验证基础设施。

深度伪造到底影响了什么？

对于数字身份来说，尤其是在消费者或用户身份复杂化的场景下，现有的身份验证技术还不够成熟。企业环境中，可能会使用列表或其他形式来检查员工用户的角色和状态，但针对消费者或普通用户的身份验证则必须对其个人进行验证。

这种验证可以使用各种数据源，通常采用身份文件检查的形式，例如身份证、护照、生物识别、银行卡等。绝大部分的身份验证都是在线上实现的，并且会应用到用户注册或登录过程中。

在介绍深度伪造身份之前，我们先回顾以下臭名昭著的Frank Abernarle当时做了些什么。这位“20世纪最强诈骗艺术家”当时曾冒充过飞行员和医生等职业，并利用这些“身份”骗取了大量金钱。他通过扮演经过“验证”的人，并利用职业特征和他人的信任欺骗了大家。这就是最早的深度伪造。现在，有了机器学习和人工智能的帮助，威胁行为者将能够通过现代化技术实现深度伪造身份，并生成可用于实现欺诈活动的经过验证的身份。

深度伪造可以破坏线上信任的关键，及身份验证。据统计，2023年大约有50万个使用了深度伪造技术的视频和语音在互联网上被广泛传播。

人工智能技术的蓬勃发展，导致深度伪造技术的产物变得非常“廉价”，成本非常低。研究人员发现，威胁行为者正在使用深度伪造技术和生成式人工智能来构建用户身份档案，成本低廉意味着欺诈活动将给他们带来丰厚的利益。

对于金融欺诈来说，身份合成并不是一个新的概念，但近年来这种技术又达到了一个新的高度。研究表明，KYC身份检查过程中又95%的合成身份无法被检测到。当然了，使用验证服务规避合成身份诈骗的一种方法是将生物识别技术纳入流程中，即面部识别和活体测试等。但深度伪造技术同样也可以在验证过程中欺骗面部识别机制。

为此，研究人员则提出了针对深度伪造技术的最新策略，及身份去中心化。

身份去中心化是治标还是治本？

为了实现身份去中心化，W3C组织开发了一种专用的架构和数据模型。W3C指出，该规范中定义的去中心化标识符（DID）是一种新型的全球唯一标识符，它们旨在使个人和组织能够使用他们信任的系统生成自己的标识符。

去中心化身份的基础是可验证的凭证，即已经经过验证并存储在区块链上的身份数据，因此是用户“人性”层面上的不可变的衡量标准。一些研究人员还表示，人工智能技术可以用于检测已验证凭证的滥用情况，以确保它们不会被劫持并用于欺诈活动中。

去中心化身份的倡导者强调使用身份钱包来存储与身份相关的物品，例如教育证书，甚至是NFT，以增加对用户数字身份的进一步信任，即建立一个能够描述用户身份的描述档案，而不仅仅是他们的姓名、地址和年龄信息。

那么问题来了，我们有什么方法来阻止威胁行为者创建去中心化身份呢？

如果威胁行为者利用这种平台和深度伪造技术创建虚假的用户ID，信任仍然无法实现。假设威胁行为者研究出了如何生成经过验证和上链的身份凭证，或某种劫持合法身份描述档案的方法，那么在这种情况下，他们仍然可以拥有一个可信但虚假的身份来执行威胁活动，

经过验证但去中心化的身份是一个很赞的概念，但它似乎并不是能够根治信任问题的灵丹妙药。用户的身份可能随着时间的推移而发生改变，去中心化的身份及其已经过验证的凭证则必须始终是动态的，且始终是经过验证的。但这好像又违背了去中心化的某些规则，也许“去中心化”这个词并不适合描述这种系统，又或者，在网络世界中实现身份去中心化这个概念根本上就有问题？

有安全研究专家认为，为公众服务的金融技术必须始终具备减少欺诈的机制，并允许人机回环（human-in-the-loop）逆转交易，而区块链两者都做不到。减少欺诈的机制必须扩展并覆盖到深度伪造，因为它们已经渗透到了我们为安全在线交易而构建的可信世界中。

总结

信任是一种依赖，用户对身份方面保持信任也是数字世界正常运转的必备要求。由此看来，单一的解决方案可能只能治标，结合多层次的解决方案可能才能治本。

参考链接

https://cybernews.com/editorial/deep-fakes-break-trust/