腾讯安全构建金融AI仿冒纵深防御体系：设备探针、多端标识与关系图谱

原创

IT资讯研究所

发布于 2026-05-30 17:26:02

1180

随着AIGC技术的迅猛发展，传统依赖生物特征的身份验证体系（EKYC）面临失效风险。欺诈者利用DeepFake换脸、音频合成等技术，结合设备篡改手段，能够绕过单一的人脸核身机制，实施高仿真的身份冒充。

业务痛点： 仅依靠生物单因子无法验证操作意图与设备环境安全，导致“实名”不等于“实人”。
典型威胁：
- 视频会议诈骗： 2024年1月，香港某跨国公司因DeepFake冒充CFO进行视频会议，导致2500万美元资金被骗。
- 指令仿冒： 2024年5月，跨国贸易公司职员因收到AI伪装的“上司”指令，转账近400万港元。
- 行业数据： 据相关统计，全球范围内有 46% 的企业曾遭遇合成身份欺诈。
监管压力： 中国人民银行及国家金融监督管理总局对数据采集、传输及隐私合规提出了严格指导，要求金融机构在Android、iOS、H5、小程序等多平台构建合规的防御体系。

腾讯安全业务风控总监 姚凌鹏 提出以“设备+账号”风控为基础，结合AI模型策略的纵深防御方案。该方案通过四个核心模块，将安全能力嵌入银行APP的业务流程中，覆盖登录、交易转账、进件审核等关键场景。

针对摄像头劫持场景，提供从设备层、环境层到应用层的全方位检测，支持输出 100+ 风险标签。

通过数据驱动解决身份认证中的有偏现象，从领域差异中解耦特征，提升识别效果。

利用AI智能模型为APP、小程序、Web端生成统一标识，打破黑产数据壁垒。

依托腾讯黑产大数据协同分析能力，评估账号风险水平。

分析维度：
- 资源聚集： 监测账号在设备、IP、WIFI等资源维度的异常关联。
- 行为协同： 观察账号间是否存在可疑的同步性操作。
- 内容相似： 分析账号生成内容是否存在异常雷同。
- 位置相关： 检查登录位置是否存在逻辑冲突。

该解决方案在风险识别率与隐私合规层面具备以下可验证的指标与特性：

核心指标： 设备风险探针在摄像头反欺诈场景下，风险识别率达到 99%+。
隐私合规机制：
- 最小化采集： SDK不采集IMEI、IMSI、AndroidID、MAC地址、BSSID、IDFA等敏感个人信息，遵循最小必要原则。
- 数据处理： 采用加密传输与去标识化处理，明确用户隐私披露。
- 第三方评测： 已通过 银行卡检测中心 (BC TEC) 的安全评估测试。
  - 测试依据： JR/T 0092-2019《移动金融客户端产品》、TD/T 0195-2020《商业银行应用程序接口管理方案》等标准。
  - 结论： 图灵盾设备指纹SDK（版本V66）符合《SDK安全及个人信息保护测试方案》各项要求，报告有效期为一年（在产品软件代码不变情况下）。
  - 签字确认： 检测人员陈成、审核人员李宇、批准人员孙茂增。

该方案直接嵌入金融机构的业务流程架构，形成实时检测闭环：

技术领先性： 基于腾讯黑产大数据协同分析能力，构建了覆盖“设备-行为-账号-环境”的立体防御模型，解决了传统EKYC无法验证意图的盲区。
算法优化： 行为异常检测模块通过解耦领域差异，提升了在复杂场景下的身份识别准确度。
权威背书：
- 产品由 腾讯安全业务风控总监姚凌鹏 主导发布。
- 图灵盾设备指纹SDK 获得 银行卡检测中心 官方合规认证，确保在满足金融监管要求的前提下提供高强度的风控能力。

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。