清华大学网络科学与网络空间研究院副教授、博士生导师易鑫

出品｜搜狐科技

作者｜张雅婷

编辑｜杨锦

近日，“建议拍照不要随便比剪刀手”话题冲上热搜。有观点认为，在1.5米内，镜头如果完全对着手指，有可能被提取到指纹信息，威胁用户信息安全。

比“剪刀手”拍照，真的会有指纹泄露的风险吗？除了指纹，AI时代还有哪些需要关注的隐私安全问题？对此，搜狐科技与清华大学网络科学与网络空间研究院副教授、博士生导师易鑫进行了深入的交流。

易鑫认为，普通手机摄像头在正常距离下很难拍到可供识别的完整指纹，加上社交平台上传图片时普遍会进行压缩，细节信息存在丢失。“在正常生活里，只要你的数据没有被广泛泄露，没有被有心人专门去做推理和还原，泄露风险其实不太大。”

在易鑫曾经做过的隐私研究中，社交媒体上主动发布的视频、照片，一般能推理出的信息主要包括经济条件、兴趣爱好、当前职业等，但很难被“偷”去做指纹、人脸识别，因为后者对精度和分辨率要求会非常高。

比如，即使有一定素材，用AIGC生成的照片很真实，但很难骗过人脸识别系统。“现在的人脸检测算法，用到的特征非常多，比如扫脸的时候，系统往往会让你张嘴、眨眼。另外屏幕变颜色时，它会看你的脸部、眼睛反光是否有对应的响应。”

相对于人脸、指纹这种生物信息泄露，易鑫认为当下更需要警惕的是，不少用户过于鲁莽地使用大模型——为了图方便，很多人会不加分辨地将截图、对话、身份信息等上传给大模型，而没有充分考虑隐私、安全这些问题。

“Agent现在是隐私和安全的一个重灾区。尤其是很多第三方AI助手，本身开发门槛已经非常低，这里面就很容易存在安全漏洞，甚至恶意行为。”

以下为对话实录：

搜狐科技：最近有一个上热搜的话题，就是“比剪刀手拍照可能有指纹泄露的风险”，您怎么看？

易鑫：理论上来说，我们不太可能通过普通摄像头拍到原始的完整指纹信息。指纹对于信息识别的精度要求很高，要求的是每一个局部都非常精细。

这意味着摄像头的分辨率得非常高，如果是现在常见的手机摄像头，除非把手怼到镜头前，否则不太可能构建一个完整的指纹。除非专门拿个相机装上长焦镜头，去怼着人的局部拍，还刚好拍到了完整的指纹轮廓。

并且除了拍摄环节，还有传播链路的问题。比如一张很高清的照片，你上传或者发布到任何平台，比如微信朋友圈，基本都会自动压缩，这些指纹的细节信息其实就丢失了。

所以在这样的情况下，我觉得在正常生活里，只要你的数据没有被广泛泄露，没有被有心人专门去做推理和还原，泄露风险其实不太大。

搜狐科技：那您觉得最近舆论上的这种担忧，主要来源于什么？

易鑫：我觉得这其实是一个好迹象，至少说明公众对生理信息、隐私信息的关注度，已经显著提升了。

在隐私安全研究领域，有很多研究会比较不同国家、不同文化背景的人，对隐私的重视程度和应对策略。结果发现，国内用户对隐私相对没那么敏感，会更关注是否“好用”，很多人愿意牺牲一部分隐私，去换取便利性。

所以这些年其实有很多研究方向，叫“可用安全/可用隐私”，就是研究怎么让用户在可接受的可用性成本下，又能兼顾隐私和安全。这其实是个很有挑战的事情。

搜狐科技：在最新的研究中，手机拍照能识别出哪些信息？

易鑫：在最近的研究工作中，可以做到通过手机摄像头，在正常手持拍照的距离内，通过识别脸上的毛细血管等颜色的微小变化，检测到你的微表情，甚至检测到你的心跳、血氧等等生理相关信息。

搜狐科技：在社交平台上上传照片，有什么风险？

易鑫：我们自己平时也会做一些隐私研究，比如招募志愿者，请他们自愿提供自己在社交媒体上主动发布的视频、照片等媒体资源，然后我们会分析，这里面会暴露出发布者多少隐私信息。

我们发现，能推理出的信息主要包括经济条件、兴趣爱好、当前职业等等。比如我看到你戴了个高级手表，可以推测你可能相对比较有钱。至于生物特征，像指纹、人脸，其实对精度和分辨率要求会非常高。

搜狐科技：除了指纹，人脸也是大家关心的话题。社交平台上的照片，有可能会被“偷”去做人脸识别吗？

易鑫：在人脸识别技术早期，有张照片就能骗过摄像头，但安全专家发现这种方式太容易被攻击了，人脸识别就进化到看人的三维形状和轮廓。

再到后面，发展到大家熟悉的“活体检测”，就是扫脸的时候，系统往往会让你张嘴、眨眼，或者变换屏幕颜色，要看你在张嘴、眨眼时，皮肤变化是否符合真人规律。包括屏幕变颜色时，它会看你的脸部、眼睛反光是否有对应的响应。

所以总体而言，现在的人脸检测算法，用到的特征非常多，所以也是比较安全的，这也是它现在能在支付、金融等领域广泛应用的重要前提。

仅基于照片，想训练一个人脸模型去骗系统，其实还是非常难的。

搜狐科技：现在AI进化得特别快，大家都担心AIGC生成的照片、视频会有安全隐私风险，您怎么看？

易鑫：我觉得目前AI生成能力分为三个阶段，一是让真人觉得它自然、不违和，二是让AI也检测不出来它是生成的，三是身份验证，比如人脸、指纹的安全验证。现在AI大概处于第一和第二阶段之间。

AIGC生成得“真实”，只代表它在自然性上做得很好。它看起来像真人，也像目标人物。但“像真人”和“满足生理身份验证”，中间其实还有很大的鸿沟。

从安全验证这个角度来说，目前普通人不用太担心，比如Face ID要求真实摄像头接入，指纹识别也要求专门的指纹传感器。

不过在安全验证之外，AIGC会带来很多其他风险，比如它可能模仿你的身份，做一些不合时宜的事情，引发舆论问题，或者侵犯个人隐私等等。

搜狐科技：为什么大家会特别担心指纹、人脸等生物信息泄露？

易鑫：过去几年业内其实出现过一些案例，有些所谓“黑心厂商”，在存储用户密码或者数据的时候，用明文存储，或者安全措施不到位，导致信息泄露。

如果有些网站把用户的生理信息，也用不够安全、不够加密的方式去存储，那这个后果就比密码泄露严重得多。因为密码泄露了，你还能改密码。但指纹和面容是一辈子都改不了的。一旦泄露，就是真正意义上的永久泄露。

所以很多消费者和普通用户会对它有天然顾虑，我们做隐私安全研究时，很多人会说：“我知道指纹、面容很好用，也很安全，但我就是怕一次泄露。”

搜狐科技：作为隐私安全领域专家，您自己在社交平台发照片、发视频时，会特别注意什么吗？

易鑫：这一块其实还真没有什么特别的小技巧。

虽然我们的一些研究发现，通过社交网络上的照片、视频，确实可以推理出很多个人信息。但至少目前，现实社会里还没有出现大规模基于这些内容进行攻击的案例。

攻击者做攻击，其实是需要动机的。他们一般是为了勒索、赚钱，或者攻击公司，而不是单纯为了分析普通用户朋友圈。所以对于普通用户而言，也不用担心到“马上把朋友圈全删掉”的程度，没有必要。

搜狐科技：前段时间有报道称，有用户让Kimi翻译截图，结果模型突然回复了一个陌生人的完整简历。像这种隐私泄露，主要是模型技术问题导致的吗？

易鑫：第一个问题在于，现在很多用户处在“疯狂拥抱AI”的阶段，所以什么都往里面传，比如文件、聊天记录、截图、合同，根本不会考虑隐私、安全这些问题。

另一方面，从模型本身来说，它现在也确实不完美。正常情况下，用户让它翻译一个截图，它应该只返回截图相关的内容，不应该突然给我一个陌生人的简历，所以这显然是处理错误，这既可能来源于模型幻觉，也可能来源于语义理解错误、上下文混淆等问题。

搜狐科技：那普通用户该怎么降低这种风险？

易鑫：我觉得这里面第一步，其实还是用户自身要建立一些意识，如果你觉得某些内容可能涉及隐私，那就尽量别上传。

当然也不能只靠用户自觉，比如我们自己做的一些工作，会研究如何通过交互界面、可视化提示等方式，让用户意识到你当前上传的内容，可能存在隐私风险。

搜狐科技：上传给大模型的信息是保存在本地的吗？

易鑫：这个得具体情况具体分析。除非你使用的是“本地部署”的大模型，否则现在绝大部分普通用户访问的大模型，都是通过网络访问官方服务器的。既然是联网服务，那数据很多情况下都会上传到服务器。

当然，技术上确实可以做到“部分本地处理”，比如有些内容只在本地运行，不上传云端。但公司一般不会主动这么做，因为平台收集数据是有价值的，可以建立更准确的用户画像，做推荐、广告、商业转化。

搜狐科技：您觉得在AI时代，哪些隐私安全问题最值得重视？

易鑫：第一类就是“长上下文历史记录”，现在很多AI大模型会长期保存你的历史对话，所以尽量不要在不同时间里，持续上传那些能够互相拼接的敏感信息。虽然每一句单独看都很安全，但组合起来，可能会暴露很多东西。

第二类是Agent，比如现在很多AI助手，已经不是单纯聊天了，而是帮你发邮件、订票、操作网页等等，但问题在于——你想让它帮你操作，就必须授权。比如你让AI买12306车票，你就得给它账号密码、身份证信息，很多人虽然心里会犹豫，但最后还是会给，所以Agent现在其实是隐私和安全的一个重灾区。尤其是很多第三方AI助手，本身开发门槛已经非常低，这里面就很容易存在安全漏洞，甚至恶意行为。

第三类是更偏未来的一类风险，比如现在越来越火的具身智能机器人、智能家居、IoT设备，如果这些设备接入大模型，那它的摄像头、麦克风、各种传感器都会长期工作。如果系统存在漏洞，理论上就可能被攻击。

尤其未来如果机器人普及之后，它不仅有摄像头、麦克风，还能真实执行动作。之前一些网络安全比赛里，就已经有人演示过：机器人系统被攻击后，会做出异常动作，比如挥拳、撞人等等。甚至还存在设备之间相互传播攻击的可能。