在生成式AI野蛮生长的“末法时代”,验证码之类的在线身份验证技术已经越来越难以识别AI机器人和真人的区别,近日有研究者提出用“人格证书”取代当前流行的在线“真人”验证技术。
这篇论文名为“人格证书,人工智能时代的隐私保护真人验证工具”(Personhood credentials: Artificial intelligence and the value of privacy-preserving tools to distinguish who is real online),由多位作者共同撰写,分别来自不同的机构,包括OpenAI、哈佛大学、微软、牛津大学等。
论文提出一种保护隐私的在线身份验证工具——人格证书(Personhood Credentials,简称PHCs),这是一种数字证书,允许用户向在线服务证明他们是真人而非AI,同时不披露任何个人信息。
“人格证书”主要用于对抗由AI驱动的在线欺骗行为,如自动化欺诈、虚假信息传播等。
论文指出,匿名性是网络空间的一个重要原则,但恶意行为者常常利用虚假身份进行欺诈、散布虚假信息和实施其他欺骗行为。随着AI技术的进步,这些行为者可以放大其操作的规模和有效性,使得在保护匿名性和可信度之间找到平衡变得更加困难。
人格证书可以由各种受信任的机构发行,如政府或其他组织。根据论文的定义,人格证书系统可以是本地的或全球的,且不必基于生物特征。论文强调,AI的两个趋势使得这一挑战变得更加紧迫:一是AI在网上越来越难以与人类区分(例如,生成类似人类的内容和头像,以及执行类似人类的活动);二是AI的可扩展性越来越强(例如,成本效益和可访问性)。
论文借鉴了匿名证书和“人格证明”系统的研究历史,提出人格证书不仅可以让人们在网络平台证明自己是真人,同时还为服务提供商提供了一种有效减少恶意行为者滥用(AI)的新工具。
与现有的对抗自动化欺骗的措施(如CAPTCHA)相比,人格证书更能抵御复杂的AI,同时比严格的身份证验证解决方案更注重隐私保护。
论文还讨论了人格证书的潜在好处,包括减少“木偶账户”(sockpuppets)的影响、缓解机器人攻击(bot attacks)以及验证对AI代理的合法委托。此外,论文也审视了部署风险和设计挑战,并以政策制定者、技术专家和标准机构的可操作下一步行动作为结论,强调了与公众协商的重要性。
最后,论文呼吁政府、技术专家和标准机构投资于人格证书系统的研发、试点和采用,并重新审视远程身份验证和认证的标准,研究主流通信平台上欺骗账户的影响和普遍性,以及建立规范和标准来管理互联网上的代理AI用户。
点评:论文提出了一个应对AI时代在线身份验证挑战的创新解决方案,强调在保护用户隐私的同时,确保网络交互的可信度和安全性。与"网证网号"等通用身份验证方案不同,"人格证书"主要针对AI机器人的在线身份验证问题,不会记录或绑定任何用户隐私信息。因此,两者都是为了提高网络身份验证的安全性和可信度,但侧重点和应用场景有所区别。需要注意的是,虽然人格证书保护了用户隐私,但却无法解决当今互联网上普遍存在的跟踪和分析等监控行为。
参考链接:
https://arxiv.org/pdf/2408.07892
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。