今天 Network Security 课上读了一篇 CHI ‘25 的论文:Designing Deepfake Detection Tools for Intelligence Community End Users,研究怎么给美国情报分析师设计更好用的 deepfake 检测工具。30 人访谈、本体分类框架、界面原型评估,HCI 那一套做得很完整。
但读完之后我的反应是:这条路本身就走不通。
检测是一场注定输掉的军备竞赛
论文的前提是”检测 deepfake”。问题在于,生成能力的增长速度远超检测能力。OpenAI 最近发布的 GPT Image 2 已经能生成以假乱真的照片。每一代新的生成模型出来,之前部署的所有检测器都可能失效。检测器每次迭代只是追上当前这一代,下一代出来又得重来。
这跟杀毒软件追病毒签名是同一个困局,而且更糟——图像和视频的特征空间比恶意代码大得多。
Deepfake 的威胁本质是缺少 auth
仔细想想 deepfake 的实际攻击场景:伪造 CEO 发表声明、伪造政客说了某句话。核心问题是冒用身份——这段内容没有经过目标实体的授权发布。
这就是一个认证(authentication)问题。跟 HTTPS 解决的问题是同一类:你怎么知道你访问的是真正的 bank.com 而不是中间人伪造的页面?答案是证书签名。
把同样的逻辑平移到媒体内容:发布者对内容做数字签名,浏览器/平台验证签名并展示来源状态。没有签名的内容标记为”未验证来源”,跟 Chrome 标 HTTP 为”不安全”一个道理。
已经有人在做了:C2PA
这个思路已经有了工业级标准。C2PA(Coalition for Content Provenance and Authenticity)由 Adobe、Microsoft、BBC、Intel 等公司在 2021 年发起,用密码学签名把来源信息绑定到媒体文件上。规格书已经到了 v2.2(2025 年 5 月发布),W3C 正在评估浏览器层面的集成。
硬件端,Leica M11-P 是第一台支持 Content Credentials 的相机,Sony Alpha 系列跟进,Samsung Galaxy S25 是第一款原生支持 C2PA 的手机。CISA 在 2025 年 1 月的安全指南中明确建议政府机构和关键基础设施运营者采用 Content Credentials。
超过 6000 个组织加入了 Content Authenticity Initiative。
后补签名:降低部署门槛
C2PA 的一个常见反对意见是”需要从硬件改”。但实际上不需要。后补签名模型完全可行:已经拍摄的照片,允许某个实体事后声明”这是我们发布的”。AP 拍了一张照片,编辑后签名发布,浏览器验证签名链,搞定。
这跟 CA 签发证书的逻辑完全一致——CA 也不需要在你服务器上装硬件,你生成 CSR 提交过去就行。部署门槛从”全链条硬件改造”降到了”软件 + 浏览器”。
Auth ≠ Ident
签名的目的是证明内容来源的真实性,不是暴露创作者身份。这个区分很重要。CA 只证明”这个公钥属于 example.com”,不保证 example.com 上面跑的内容是真是假——内容质量由域名持有者的信誉负责。
媒体签名同理:Reuters 签名只证明”这个内容是 Reuters 发布的”。至于 Reuters 有没有在发布前自己修过图,那是 Reuters 的信誉问题,不是签名体系要解决的。签名体系只负责 auth 这一层。
举报人、匿名记者也不受影响。技术上完全可以做匿名认证:“某个经过验证的记者发布了这个”,但不暴露是谁。
嵌套签名:内容供应链的信任链
现实中的内容流转是多层的:摄影师拍原片 → AP 裁剪发布 → CNN 加字幕引用 → 博主截取发推。每一步都是一次变换,每一步都应该追加一层签名。
这跟代码签名的信任链是同一个模式。浏览器验证的时候就能看到完整的签名链,跟 TLS 证书链一样一层层追溯。任何一层断了,就知道从哪里开始内容变得不可信。合法编辑(裁剪、调色、加字幕)只要编辑者愿意签名背书,就是合法变换。恶意篡改者不会签名,因为签名意味着可追责。
HTTPS 迁移已经证明这条路走得通
Chrome 2018 年开始把 HTTP 标为”Not Secure”。根据 Google 的 HTTPS 透明度报告,HTTPS 采用率从 2015 年的约 30-45% 飙到 2020 年超过 95%。Let’s Encrypt 提供免费证书进一步降低了门槛。2026 年 10 月的 Chrome 154 将把 “Always Use Secure Connections” 设为默认。
用户确实能理解”不安全”这个标签,不需要懂密码学。浏览器 UI 已经教育过一轮了。媒体签名可以走完全相同的路径。
所以
论文里那条路线——训练更好的检测模型、设计更好的检测工具界面——本质上是在应用层做补丁。而 PKI + 签名方案是在基础设施层解决问题,直接消除攻击面。
技术演进的方向实际上在帮 auth 路线的忙:生成越逼真 → 检测越不可靠 → 用户越依赖”有没有签名”来判断可信度 → 签名体系的部署动力越强。
检测 deepfake 是军备竞赛,永远追不完。Auth 是一次性部署的基础设施。