The Malicious Technical Ecosystem: Exposing Limitations in Technical Governance of AI-Generated Non-Consensual Intimate Images of Adults

该论文采用以幸存者为中心的视角，揭示了由开源换脸模型和大量“去衣”软件构成的“恶意技术生态系统”如何导致当前基于 NIST 报告等标准的 AI 治理框架在应对成人非自愿深度伪造色情内容时存在严重失效与认知缺陷。

要点

这篇论文就像是一份**“技术界的犯罪现场调查报告”**，它揭露了一个专门用来制造“换脸色情视频”的地下黑市，并指出目前的技术监管手段就像是用“防弹玻璃”去挡“水枪”，完全抓不住重点。

为了让你更容易理解，我们可以把这篇论文的核心内容想象成三个部分：

1. 什么是“恶意技术生态系统”（MTE）？

比喻：一个“自助式”的非法换装工厂

想象一下，以前要制作那种把别人的脸换到色情视频里的“深度伪造”（Deepfake）内容，需要像好莱坞特效师那样，懂高深的代码和复杂的数学。

但现在，这个领域出现了一个**“恶意技术生态系统”（MTE）。这就像是一个完全开放的“自助换装工厂”**：

• 开源模型（DeepFaceLab 等）： 就像是工厂里免费发放的“万能换脸模具”。任何人都能在 GitHub（一个程序员常用的代码仓库）上免费下载这些模具。
• 傻瓜软件（Nudifiers）： 基于这些模具，有将近 200 种软件，就像**“一键换装机”**。哪怕你完全不懂技术，只要上传一张普通照片，几分钟内就能生成一张“脱衣”的假照片。
• 产业链： 从代码托管网站（如 GitHub）到支付平台（如 Visa/Mastercard），甚至搜索引擎（如 Google），都在无意中为这个工厂提供了水电、物流和广告位。

结果： 这个工厂每年生产成千上万张针对成年人的假色情图片，受害者包括女议员、明星，甚至是普通女性。虽然这些图片有时候一眼就能看出是假的（比如脸有点歪），但它们依然给受害者带来了巨大的心理创伤、名誉损失，甚至导致她们不敢再上网（这就是所谓的“寒蝉效应”）。

2. 为什么现在的监管手段“失灵”了？

比喻：拿着“透明胶带”去堵“洪水”

论文指出，目前的监管政策（参考了美国国家标准与技术研究院 NIST 的报告）就像是在用**“透明胶带”试图堵住“洪水”**，主要有三个严重的误判：

• 误判一：以为“标了假”就不伤人

  • 现状： 现在的监管很强调“透明度”，比如给 AI 生成的内容打上“我是 AI 生成的”水印，或者告诉用户“这是假的”。
  • 问题： 这就像在一张假钞票上盖个章说“这是假币”，然后说“大家知道它是假的，所以不会上当”。
  • 现实： 对于受害者来说，哪怕大家都知道那是假的，看到自己的脸出现在色情视频里，依然会感到极度羞耻和恐惧。 就像有人把你画成漫画贴在墙上嘲笑，哪怕画得很丑、很假，你依然会受伤。目前的监管假设“只要大家知道是假的，伤害就没了”，这完全错了。

• 误判二：把“儿童”和“成人”混为一谈

  • 现状： 监管者往往把“儿童色情”和“成人非自愿色情”当成同一类问题来处理。
  • 问题： 这就像是用**“抓未成年人的法律”去管“成年人之间的纠纷”**。
  • 现实： 儿童色情是绝对非法的，因为孩子无法同意，所以警察手里有一张“黑名单”（所有已知的儿童色情图片库），只要对上号就抓。但成年人的情况不同，受害者没有“同意”过，但也没有一个现成的“受害者照片库”供机器去比对。目前的很多过滤技术是依赖“黑名单”的，这对成人受害者完全无效。

• 误判三：只盯着“大公司”，放过了“小作坊”

  • 现状： 现在的监管主要盯着像 Stability AI 这样的大公司，要求它们在大模型里加过滤器，比如“如果你输入‘脱衣’这个词，我就不生成图片”。
  • 问题： 这就像是在**“正规超市”门口设卡检查，却对“路边黑市”**视而不见。
  • 现实： 那个“自助换装工厂”（MTE）里的工具，根本不需要你输入“脱衣”这种指令。你只需要上传一张照片，它自动就给你换。大公司的过滤规则对这种“傻瓜式工具”完全不起作用。监管者以为技术本身是好的，只是坏人用坏了；但实际上，这个“自助工厂”的技术本身就是坏的，它的唯一目的就是作恶。

3. 论文想要告诉我们什么？

比喻：不仅要抓小偷，还要拆掉“作案工具”

这篇论文的核心观点是：我们不能只等着受害者去报警、去求平台删帖（事后补救），因为删了一个，马上会有十个新的冒出来。

我们需要改变思路：

1. 承认伤害： 即使内容是“假”的，只要它造成了伤害，就必须被治理。
2. 针对源头： 不能只盯着大公司的模型，必须去治理那些专门用来作恶的“开源模具”和“傻瓜软件”。
3. 以受害者为中心： 现在的技术治理太关注“技术透不透明”或“法律合不合规”，却忘了受害者正在遭受什么。

总结一句话：
现在的技术监管像是在给“坏蛋”发“透明面具”，以为大家能看清面具下的脸就不怕了；但这篇论文告诉我们，面具下的脸依然会伤人，而且那个专门生产面具的“黑工厂”（MTE）才是我们需要重点拆除的目标。

技术摘要

以下是基于 Michelle L. Ding 和 Harini Suresh 的论文《恶意技术生态系统：揭示成人 AI 生成非自愿亲密图像技术治理的局限性》的详细技术总结：

1. 研究问题 (Problem)

本文聚焦于AI 生成的非自愿亲密图像（AIG-NCII），即俗称的“深度伪造色情内容”（deep fake pornography），特别是针对成年人的此类内容。

• 核心挑战：尽管存在大量关于防止儿童性虐待材料（AIG-CSAM）和图像分发的研究，但针对成人 AIG-NCII 创建的技术治理存在显著空白。
• 现象：自 2017 年以来，存在一个去中心化的、由开源模型和工具组成的生态系统，允许非技术用户只需几分钟即可创建 AIG-NCII。
• 危害：这种内容虽然往往肉眼可见地“假”，但仍对受害者造成严重的心理、身体、声誉及经济损失，并导致针对特定性别、种族和性少数群体的“寒蝉效应”，迫使他们退出网络空间。
• 治理困境：当前的技术治理方法未能有效监管这一生态系统，导致新的非法内容源源不断地产生，而现有的应对措施（如下架）往往将负担转嫁给受害者。

2. 方法论 (Methodology)

作者采用**以幸存者为中心（survivor-centered）**的方法，结合技术生态系统的分析与现有治理框架的评估：

• 生态系统映射：识别并定义了一个**“恶意技术生态系统”（Malicious Technical Ecosystem, MTE）**。该生态系统包括：
  • 开源的独立开发模型（如 DeepFaceLab, DeepNude, FaceSwap）。
  • 面向用户的软件工具（近 200 种“去衣/nudifying"软件）。
  • 独立的“深度伪造创建服务”（1700+ 个付费服务）。
  • 支撑基础设施（GitHub 托管代码、论坛指导、搜索引擎排名、支付处理等）。
• 框架评估：利用美国国家标准与技术研究院（NIST）发布的 AI 100-4 报告（关于合成内容治理）作为基准，评估当前的合成内容治理实践在应对 MTE 时的有效性。
• 对比分析：将 MTE 中的工具与大型商业公司（如 Stability AI）的图像生成模型进行对比，分析治理措施在不同技术架构下的适用性差异。

3. 关键贡献 (Key Contributions)

• 定义“恶意技术生态系统”（MTE）：首次系统性地描绘了成人 AIG-NCII 的完整供应链，强调其由开源模型、用户工具和独立服务组成的去中心化特性，而非单一的大型模型。
• 揭示治理假设的缺陷：通过 NIST 报告，指出了当前治理框架在应对 MTE 时的三个核心局限性（见下文结果部分）。
• 区分 CSAM 与成人 NCII：明确指出了将儿童性虐待材料（CSAM）与成人非自愿亲密图像（NCII）混为一谈在技术治理上的误区，特别是关于“同意”和数据库构建的差异。
• 提出幸存者视角的治理需求：呼吁技术治理从单纯的“事后响应/下架”转向“事前预防”，并强调治理对象不仅是恶意用户，更是恶意技术本身。

4. 主要发现/结果 (Results)

论文通过 NIST AI 100-4 报告指出了当前治理方法在监管 MTE 时的三大局限性：

1. 过度依赖透明度（Transparency）的局限性：

   • 现状：MTE 中的模型（如 DeepFaceLab）训练数据量远小于商业模型（如 Stable Diffusion），生成的图像往往容易被肉眼识别为“假”，且许多工具会主动添加"AI 生成”或“伪造”的水印。
   • 问题：当前的治理措施（如溯源、水印、用户教育）假设“可被识别的假内容”危害较小。然而，研究表明，即使内容明显是伪造的，依然会造成严重的心理伤害和声誉损害。透明度措施不足以解决此类危害。

2. 混淆 CSAM 与成人 NCII 的局限性：

   • 现状：治理框架常将两者归为一类，采用类似的技术（如基于已知非法图像数据库的哈希匹配，如 PhotoDNA）。
   • 问题：CSAM 的非法性基于法律定义（未成年人），无需验证同意；而成人 NCII 的核心在于缺乏同意。由于缺乏包含所有潜在受害者的“非同意数据库”，基于哈希匹配的方法在成人 NCII 场景下难以实施。治理方法不能简单通用。

3. 仅针对大型商业模型的局限性：

   • 现状：现有的成人 NCII 治理措施（如输入数据过滤、红队测试/对抗提示生成）主要针对基于提示词（Prompt-based）的大型商业模型。
   • 问题：MTE 中的工具（如“去衣”软件）通常不需要复杂的提示词，用户只需上传照片即可。因此，针对提示词的过滤和测试对 MTE 完全无效。治理框架错误地假设技术本身是可信的，而恶意源于用户；但在 MTE 中，技术本身就是为了生成 NCII 而恶意开发的。

5. 意义与影响 (Significance)

• 理论意义：挑战了当前合成内容治理中关于“透明度即安全”和“技术中立”的假设。证明了即使是低质量、明显伪造的内容，只要其意图是侵害，就属于高风险危害，需要技术治理。
• 实践意义：
  • 指出当前的治理框架（如 NIST 报告）在应对去中心化的 MTE 时存在盲区。
  • 呼吁未来的治理框架必须专门针对 MTE 的架构（如开源模型、独立服务）设计技术控制措施，而不仅仅关注大型科技公司。
  • 强调治理目标应从“打击恶意用户”转向“监管恶意技术本身”，以减轻幸存者的负担，实现真正的预防。
• 社会意义：通过以幸存者为中心的方法，揭示了技术治理缺失如何加剧性别暴力，并呼吁技术社区承担更多责任，以保护弱势群体免受技术赋能的性别暴力侵害。

总结：该论文揭示了现有的 AI 治理框架在应对专门用于生成成人非自愿亲密图像的“恶意技术生态系统”时存在根本性缺陷。它强调了必须重新定义治理对象，从单纯关注大型模型和透明度，转向针对去中心化、恶意设计的开源工具链进行更严格的监管，以切实保护受害者。