AI 能画出逼真的身份证了,KYC 流程还靠肉眼审核行吗?
2025 年底,一个班加罗尔的开发者用 Nano Banana Pro 生成了一套印度 Aadhaar 和 PAN 身份证图片。格式、字体、照片、防伪底纹——全都像真的。他把过程发到了网上,引发了一波关于 AI 伪造身份文件的讨论。
2026 年 2 月,Nano Banana 2 发布了。生图能力更强,免费用户也能用,文字渲染更准确。这意味着生成一张"看起来像真证件"的图片,门槛进一步降低了。
这篇文章不讨论 AI 的好坏。只讨论一个具体的技术问题:当 AI 能够批量生成高仿证件图片时,现有的 KYC(Know Your Customer)身份核验流程够不够用?哪些环节需要升级?
现有 KYC 流程的薄弱环节
大部分在线 KYC 流程包含以下步骤:
- 用户上传证件照片(身份证正反面)
- 系统做 OCR 提取信息
- 人工或半自动审核图片真伪
- 活体检测(眨眼、转头)
- 信息比对(和权威数据库核验)
其中第 2、3 步最容易被 AI 伪造的证件欺骗。
OCR 环节是第一个盲区。AI 生成的证件图片里的文字是可读的(这正是 Nano Banana 2 的强项),OCR 能正常提取信息。但 OCR 不会判断这张图是真是假,它只负责读字。
图片审核环节更让人担心。如果靠人工肉眼看——说实话,AI 生成的证件照片连专业审核员都很难一眼看出来。细节上可能有瑕疵(比如防伪水印的微妙偏差),但在手机拍摄的低画质证件照里,这些瑕疵很容易被掩盖。
活体检测呢?这一步和证件图片无关,是对人的验证。但如果攻击者只需要通过"上传证件照"这一步(比如某些只需要证件照就能开通的服务),那活体检测根本没机会起作用。
需要升级的三个方向
方向一:从"看图片"到"读芯片/扫码"
纸质证件本身就是一种过时的验证媒介。中国的二代身份证内置了 RFID 芯片,存储着加密的身份信息。如果 KYC 流程能从"拍照上传"升级为"NFC 读取芯片数据",那 AI 生成的图片就完全无效了——你没法给一张图片装芯片。
印度的 Aadhaar 卡有二维码,扫码可以验证信息是否与 UIDAI 数据库匹配。如果 KYC 系统要求扫描二维码而不是拍照片,伪造成本就从"写一句 Prompt"变成了"伪造一个能通过后端校验的二维码",难度完全不同。
方向二:AI 检测前置
在用户上传证件照之后、进入 OCR 之前,加一道 AI 生成内容检测。
目前可用的检测工具包括:
- Google SynthID(只能检测 Google 模型生成的图片,不公开 API)
- Hive Moderation AI Detection(商业 API,支持多模型检测)
- Illuminarty(支持图片来源分析)
- 各家云厂商的内容安全 API(阿里云、腾讯云都有图片真伪检测能力)
需要注意的是,没有任何单一工具能做到 100% 检测率。建议多个工具组合使用,设置阈值。比如:两个以上工具判定为 AI 生成 → 进入人工复核流程。
方向三:多因子交叉验证
不要把全部信赖放在一张图片上。
- 证件照 + 活体检测 + 姓名/身份证号交叉比对
- 银行卡四要素验证(姓名、身份证号、银行卡号、手机号)
- 运营商实名信息核验
- 公安部身份证查询接口(eID)
每多一个因子,攻击者的伪造成本就指数级上升。AI 能画出一张假身份证,但它没法同时伪造银行系统里的开户记录和运营商的实名绑定关系。
企业应该做什么
短期(可以立刻做):
- 在证件照上传环节接入 AI 检测 API
- 高风险业务(开户、大额转账)强制要求活体检测
- 审核人员培训:了解 AI 生成图片的常见特征(过于均匀的光照、缺少纸张折痕、防伪元素的微妙错误)
中期(3-6 个月):
- 推进 NFC 读芯片 / 扫二维码的验证方式
- 建立多因子组合验证流程
- 和权威数据源(公安、银行、运营商)做实时比对
长期:
- 推动行业标准建设,参与身份验证标准的制定
- 在可信执行环境(TEE)中运行证件验证逻辑,防止客户端篡改
- 建设内部的 AI 生成内容检测能力,不完全依赖第三方
不只是 KYC 的问题
AI 证件伪造影响的不只是金融行业。招聘场景(伪造学历证书)、保险场景(伪造医疗报告)、房屋租赁(伪造收入证明)都面临同样的风险。
任何依赖"上传一张图片来证明什么"的流程,都需要重新评估安全性。
参考链接