GenAI可以使得KYC的有效性大打折扣

KYC，即"了解你的客户"，是一种旨在帮助金融机构、金融科技初创公司和银行验证其客户身份的过程。常见的KYC认证方式包括"身份证图片"，即通过对比自拍照来确认一个人是其所声称的身份。Wise、Revolut以及加密货币平台Gemini和LiteBit等公司都依赖身份证图片来加强入职安全。

但是生成式人工智能可能会对这些检查种下疑虑。

在X（前身为Twitter）和Reddit上的病毒帖子中展示了如何利用开源和现成软件，攻击者可以下载一个人的自拍照，用生成式人工智能工具进行编辑，然后使用被篡改的身份图像通过一次KYC测试。目前还没有证据表明生成式AI工具已被用于欺骗真实的KYC系统。但是，相对容易地产生令人信服的深度伪造身份图像的事实令人担忧。

欺骗知识产权验证

在典型的身份验证知识产权图像识别中，客户上传一张自己手持的身份证件照片，比如护照或驾驶证，只有他们自己才可能拥有。一个人或者一个算法通过与文件和文件中的自拍照相互比对，以防止冒充尝试。

身份图片认证从来都不是百分之百可靠的。多年来，诈骗者一直在销售伪造的身份证和自拍照。然而，GenAI带来了一系列新的可能性。

在线教程展示了如何使用稳定扩散（Stable Diffusion），一个免费的、开源的图像生成器，可以创建合成人物在任意背景（例如客厅）中的效果。通过一些试错，攻击者可以调整合成效果，使目标看起来像持有一份身份证明文件。然后，攻击者可以使用任何图像编辑器将真实或伪造的文件插入到深度伪造人物的手中。

现在，要获得稳定扩散的最佳效果需要安装额外的工具和扩展，并获取大约十几张目标图片。一位名为_harsh_的Reddit用户曾经发布了一个关于制作深度伪造身份证自拍照的工作流程，并告诉TechCrunch，制作一个令人信服的图片大约需要一到两天的时间。

但现在，进入门槛肯定比以前低。以前，创建带有真实光照、阴影和环境的身份图片需要对照片编辑软件有一定高级知识。但现在情况并非必然如此。

将深度伪造的KYC图片输入到应用程序中甚至比创建它们更容易。在桌面模拟器（如BlueStacks）上运行的Android应用程序可以被欺骗，接受深度伪造的图像而不是实时相机源，而在网络上运行的应用程序则可以被软件破解，让用户将任何图像或视频源转换为虚拟网络摄像头。

日益增长的威胁

一些应用和平台为了验证身份, 追加了“活体检测”作为额外的安全措施。通常情况下, 它们要求用户拍摄一个短视频, 展示自己转动头部、眨眼或以其他方式证明他们真的是真实存在的人。

但是，使用GenAI也可以绕过活体检测。

去年年初，加密货币交易所币安的首席安全官吴杰明告诉Cointelegraph，如今的深度伪造工具已经足够通过活体检测，甚至包括需要用户实时执行头部转动等动作的检测。

要点是，已经难以预料的KYC可能很快作为安全措施变得毫无用处。苏并不相信深度伪造的图像和视频已经达到可以愚弄人类审查者的地步。但改变这一点可能只是时间问题。