刷脸认证还安全吗？新型AI换脸盗号案细节曝光

只要有你的正常五官露出来，他都可以帮你去实施（AI换脸），把静态照片变成动态视频的效果。

AI换了你的脸

2024年6月，浙江杭州，网警在工作中看到一条可疑广告。只需一张用户人脸照片，就可突破平台 认证，利用AI换脸技术强制登录用户账号，获得聊天记录等隐私信息。

而人脸信息具有唯一性和不可复制性，相较于密码验证、手机号验证，人脸认证的安全性更高。如果真能被犯罪分子随意突破，后果将不堪设想。

这条广告不仅有详细的文字说明，还附带演示视频作为佐证。

事关个人信息安全，这条线索引起警方重视。警方侦查得知，广告发布的目标对象是电商账号的持有人。在督促电商平台提升安全防护措施的同时，警方通过平台筛选识别出150个异常电商账号。

刘先生是其中一个异常账号的持有人，接到警方的电话，刘先生瞬间蒙了。他说，自己多年前确实注册过一个电商店铺，借给朋友使用后就闲置了。没想到，有人能在他毫不知情的情况下，扫他的脸完成了过户。

电商店铺的无故易主

张女士的店铺账号和刘先生一样，也被盗用了。但跟刘先生不同的是，刘先生的账号闲置了许久，张女士的电商店铺则是刚买来的。

据了解，张女士花费1.7万余元从中介处购买了一个电商店铺，打算做点家居用品的买卖。筹备过程中，张女士收到短信，写着店铺在修改密码。张女士以为是系统出现问题就没在意。然而，两天后，张女士又收到一条短信，显示店铺已被过户给了他人。

张女士试图登录账号、通过手机号找回账号，均没能成功。张女士赶紧联系电商平台，却被告知是她本人授权“扫脸”，完成了手机换绑和店铺所有权转移。

直到杭州警方联系到张女士，她才知道账号是被人用AI换脸技术盗走了。

刘先生和张女士的遭遇并非个例，这些电商账号的无故易主，背后很可能隐藏了一个掌握AI换脸技术的犯罪团伙。

线上合谋形成产业链

警方从电商平台处得知，平台会记录账号的变更记录。顺着相关线索深挖，150个账号的异常登录地址都指向贵州某地，张某因此进入警方视线。

办案民警侦查发现，正是张某在境外平台发布了“AI换脸突破认证”的广告。很快，警方在张某家中将其抓获。在抓捕现场，张某向警方演示了如何人脸验证登录他人账号的过程。

紧接着，警方通过张某的资金流向，锁定了电商中介吴某。吴某到案后，供出上游同伙王某。随后，警方在安徽抓获了王某。

据王某交代，他曾做过电商过户业务，手里有大量闲置店铺的隐私信息，当他意识到这些账号有盈利价值后，就找到了吴某。而吴某也在网上偶然认识了张某。

三人随即建立合作关系，由张某负责技术兜底，其余两人承担接单任务。最低收费500元，他们就能查询电商账号的收货地址等信息。而涉及到店铺过户，最高的一笔佣金能收到5000元。

经查，三人共涉及150余起AI换脸盗号事件，成功过户的只有10余个，其他都被当事人找回了账号。截至被抓获前，三人获利10余万元。

2025年1月23日，法院对该案作出判决，被告人张某犯非法获取计算机信息系统数据罪，判处有期徒刑三年两个月，并处罚金人民币三万元；被告人吴某、王某因犯非法获取计算机信息系统数据罪，分别被判处有期徒刑三年、缓刑四年。

普法时间

Q：一些不法分子利用AI软件就能突破人脸识别，进行违法犯罪行为。现在AI的应用场景越来越多，作为平台和公民，应该如何防范？

A：对于网络安全个人信息保护，我国已经有了相关法律规定，还有专门的像针对换脸技术的《互联网信息服务深度合成管理规定》等等相关的部门规章。法律系统相对来说比较健全，但是落到实践中，还是需要平台和公民个人的配合和技术防护措施的跟上。

本案当中，AI的可得性和便利性使得突破安防系统变得越来越容易，我们可能要求平台根据技术的发展迭代，更新安全防护系统。比如说，有没有定期的攻防演练，有没有提高平台算法。有没有定期做系统升级维护。对于公民来说，也要提高风险防范意识，提高数字素养，比如说有没有去定期登录你的账号。

编辑：张红艳