两类模型在对抗中成长，一定程度上确实让造假的更像真的了，打假的能力也更强了。

比如下面3张图体现了生成模型的图像补全能力：可以将抠掉的信息，还原到肉眼难以分辨的程度（如图3）

这类图像生成技术正在被广泛应用于工业界，如在考古、艺术研究等领域，该技术不仅可以在数字影像中让受损的文物、艺术品重现，还能更快捷精准地给出物理修复方案。

然而这就像一把双刃剑，作恶者也可以利用这种技术轻松地将图像中的关键物体用虚假的内容替代，用于对明星改头换面、制造谣言，伪造身份证明等非法行为。这时候，其“孪生兄弟”判别模型就发挥了作用，它可以实现对图像进行去伪存真，能识别出被处理过的图片、被处理过的位置，从而守护真实和正义。

在互联网平台，我们也需要这样的技术，比如每天有众多商家在支付宝上传凭证，成为线上商户。同样也有经营非法业务的商户，试图通过伪造证照、申请开通支付业务。虽然我们检测到当前大部分攻击都是基于PS的伪造技术，并已利用现有的对抗学习技术进行这类风险识别。但我们能预见到，黑产利用GANs进行大规模攻击，将在不久的将来，成为必然的威胁。

但GANs的对抗理念，从它诞生之初就注定将面临发展瓶颈，判别模型往往只能检测出自己训练过的图像生成技术，当它遇到没见识过的图像生成技术时，它便会“失灵”。 

一个明显的趋势是，基于GANs的生成模型在广袤的应用需求下，自由不羁地生长出了多个发展方向，例如超高分辨率图像的补全；基于图片、文字、简笔画等辅助信息的补全；结果多样性的补全等等。而相比较之下，判别模型更像是一个被动的“陪练”，它不可能掌握所有图像生成技术，自然跟不上生成模型的发展速度。这也就是判别模型面临的泛化性下降问题。

这样的问题，其实不仅仅存在于GANs，整个人工智能的发展，都需要解决实验环境与现实环境的差异，让模型能够跳出题海战术，要经得起社会的“毒打”。

针对这一痛点，蚂蚁安全实验室联同墨尔本大学、迪肯大学和清华大学一起，通过论文《Noise Doesn’t Lie: Towards Universal Deep Inpainting Detection》，首次提出了一种通杀型的“伪造图片”检测能力，他可以不依赖于任何GANs生成模型产生的训练数据，实现更优秀的判别效果。该论文已被接收率仅为13.9%的顶级学术会议IJCAI 2021收录。 

论文中提到的图像生成检测框架由两部分构成：

（1）一种全新的生成“通用检测训练数据集”的方法

（2）一种多尺度噪声和图像特征交叉融合的检测网络。 

“通用检测训练数据集”生成方法的灵感来自于一个图像生成领域中普遍存在的现象：目前的图像生成技术都是基于GAN实现的，而各种基于GAN生成的内容与真实图像内容在噪声域上的特征存在明显的差别：

我们首先对b图片去噪，然后将去噪后的图片与原来的b图片进行相减得到噪声残差。从这个噪声残差中，我们可以用肉眼发现补全区域与原始内容区域存在明显的差别。

利用这种差别，我们使用基本的自动编码器来模拟图像生成的标准过程。这样，我们就可以在不依赖任何具体图像生成技术的情况下生成通用的用于检测训练的数据集。

训练数据集有了，我们还设计了检测网络，同时将图像和其噪声残差作为两个分支交叉融合，获得更精准的空间位置信息、更丰富的特征信息。

这种基于噪声特征的机制来实现图像补全通用检测相当于用降维打击的方式跳出了生成模型和判别模型之间被桎梏的竞争，通杀了几乎所有基于GANs的伪造攻击。

本论文指导老师，迪肯大学马兴军教授认为，本研究成果提供了目前SOTA(性能最优)的通用图像补全防御技术：防御效果好、防御范围大、泛化性优秀、易于部署，通用于工业界任何需要使用外部预训练模型的应用场景。