在换脸app中，美国人发现了俄罗斯的阴谋

作者 | 小世儿

来源 | 世界说

“换脸”软件有多危险？它可能会危害美国国家安全。

不要笑，四十天之前，美国参议员查克·舒默这样认真地考虑过。

7月17日，查克·舒默向联邦调查局呼吁，要求调查一款红遍全美国的手机应用软件FaceApp。

FaceApp和最近在中国饱受争议的ZAO一样，是一个“AI换脸”软件。

在FaceApp上，你只要选择一张自拍，系统就会把你的脸变成你想要的样子。你不但能换一下发型，加个胡子；而且可以自由调节年龄：只消几秒钟，就能看到几十年后你头发掉光的样子。

自从2017年走红之后，FaceApp已经积累了八千多万的用户；它甚至在Instagram上还带起了一阵“老年挑战”热，并且吸引了众多名人明星的参与。

或许正是因为“老年挑战”在社交媒体上疯传，有人向FaceApp“开炮”：这种神奇“变脸”能力的背后，隐藏了不少安全隐患。

参议员舒默怀疑，这个软件事实上是俄罗斯政府为窃取美国用户数据、进一步渗透美国人的社交网络而布下的一个“饵”，而这一切怀疑的源头只是其开发商位于圣彼得堡，是个一共12名员工的俄罗斯小公司。

“换脸”唤起的恐俄症

FaceApp引起的舆论风波起自一些网络传闻：有人在推特上警告所有用户都该警惕FaceApp，因为它可能在同步上传你图片库里的所有照片，同时访问你手机里的种种隐私信息。

《纽约邮报》和《每日邮报》几乎同时注意到了它们，随后竟然也在FaceApp的用户协议当中找到了一些根据：

除了用户定位、日志文件等几乎已成常规的读取内容，这个App还需要用户出让对于上传图片的几乎全部所有权。

按照绝大多数人不会多看一眼的用户协议内容，开发者可以在“需要的情况下”使用、修改、公布甚至是销售那些被上传的图片，而无需向用户提供任何补偿甚至是额外提示。

此外，用户也没有办法手动删除自己上传的图片，即使你在自己手机上删掉APP本身。

除了饱受争议的用户协议，在美国人眼中，这个App的另一重身份更加令人担忧——FaceApp的开发者，是个俄罗斯人。

用户数据、访问权限、俄罗斯——新闻热点需要的关键词，到这里已经足够了。其实并非第一次成为爆款的FaceApp再一次大规模登上媒体版面，这一次它的身份是“Russian App”，《纽约邮报》的标题写道：FaceApp安全隐患：俄罗斯人现在拥有了你的全部旧照片。

《纽约邮报》的标题：“俄罗斯人现在拥有了你的全部旧照片” / 网页截图

美俄两国政界都没有放过这起舆论风波，在美国它很快发展到了查克·舒默呼吁FBI介入调查的地步，在俄罗斯它则成了美国“恐俄症”的最新例证。

但和此前几次线索越查越多的涉俄事件不同，围绕FaceApp的种种猜疑在接下来的几天里相继被证明没有证据：

多位网络安全专家分头完成的试验当中，这个应用软件并不会上传没有选中的图片，也没有私自访问授权内容之外的用户数据。

为了避免用户换一次滤镜就要重新上传一次图片，那些图片会被上传到云服务器保存48小时，尽管它的开发团队身在圣彼得堡，但云服务器租自美国亚马逊公司。

它的开发者名叫亚罗斯拉夫·冈察洛夫，没有证据表明他曾和俄罗斯情报部门有什么牵扯，而尽管俄罗斯确有法律规定，运营商需要向安全部门提供用户数据访问渠道；但由于FaceApp并非典型社交软件，还没有收到安全部门的类似要求。

唯一确有“实锤”的是它白纸黑字的用户协议内容，但对于开发者冈察洛夫来说，正是这一点让他深感冤枉：

尽管还没做成，但FaceApp的目标的确是开发一款未来的个人社交产品。

由此，他们制定的用户协议在各方面都以Instagram为参考线，最终的成文版本也与Instagram的用户协议内容极为相似，然而，“没有人会责怪Instagram，因为它是Instagram”。

风波最终以开发者道歉并承诺修改用户协议告终，但更加现实的描述是，风波只给大多数人留下了一个关于APP安全性的疑问，而没有获得什么答案——公众注意力持续时间是如此之短，早在修改版用户协议能够出台之前，FaceApp就与曾经横扫社交网络的“年龄挑战”一起，过气了。

“App二次利用照片，不可避免”

所有曾研究过FaceApp的网络安全专家，都对其用户协议背后潜藏的安全问题给出了类似的反馈：条款本身的确霸道而危险，但绝非特例，而只是业内的普遍做法。

“FaceApp是坏的，但坏得没什么不寻常的地方。”

《卫报》专栏作者Arwa Mahdawi对此总结得更为直接：“不用太担心俄罗斯人，你该担心一下其他所有东西。”

FaceApp的功能集中在照片处理方面，能够一键改变照片中人的年龄甚至性别，开发团队也表示，未来的发展方向是让FaceApp取代Photoshop，成为普通人修图的首选——这决定了上传照片不可避免，而至少按照开发者的构想，用户上传的个人图片将为未来AI的深度学习提供素材，因而二次利用用户提供的照片，似乎也不可避免。

这同时也是所有图像处理类APP的共同游戏规则。

而正如FaceApp以及其他有类似功能的应用软件在其用户协议中写明的一样，对用户IP、地区、使用日志等基本信息的收集是精准投放广告的前提，在用户使用过程中获取的用户信息，被普遍视为公司资产的一个组成部分，可能会在特定情况下被出售和转让。

还有更加前卫的焦虑集中在“脸”：自2017年问世以来，FaceApp三次爆红都与它几可乱真的“造脸”技术直接相关。

从改写面部表情、改变性别到虚拟年龄，在一个越来越多安全认证依靠“刷脸”完成的时代，这样的虚拟现实能力也让很多人心惊：向这样一个应用软件交出自己的面部数据，你不知道另一面屏幕后的人会用它们来做什么。

但截至目前，一切都还停留在假设之中：运营方获取了数据不假，他们似乎可以做很多事，但还没有证据显示真有人使用这些数据做了什么。

对于一部分人来说，这意味着所谓的风险根本还不存在，对于另一部分人来说，最让人不安的就是这种“未知”。

点击“阅读原文”进入课堂