YOHO AI

标签: AI安全

  • Meta的AI客服成了黑客工具,奥巴马账号都被劫走了

    Instagram的账号安全体系最近出了个离谱的漏洞——被攻破的不是密码数据库,而是Meta自己引以为傲的AI客服聊天机器人。

    整个攻击流程简单到离谱。黑客只需要打开Meta的AI客服,跟它说”帮我把某个账号绑定的邮箱改成我的”,AI就会照做,还会把验证码发到黑客的邮箱。拿到验证码之后,黑客直接重置密码,原主人就被踢出局了。

    「Apparently this was not a sophisticated hack. But engineers at Instagram going overboard to use AI for everything, and having no incentives for stuff like… security.」——Gergely Orosz,《The Pragmatic Engineer》作者

    为了躲避检测,有些黑客还会配合VPN,把自己的地理位置伪装成目标账号的常用登录地。攻击目标主要是那些”靓号”——单字母、单单词的账号,比如”@h”、”@eggs”这类,当然也包括公众人物和企业账号。

    已经确认的受害者名单

    已经被证实中招的账号里,最离谱的是美国前总统奥巴马的白宫官方Instagram账号@obamawhitehouse。这个账号在5月的一个周日突然开始发布带有伊朗宣传内容的图片。

    除了政治账号,美国太空军首席军士长的账号、美妆零售商Sephora的官方账号也都确认被劫持。安全研究员、逆向工程师Jane Manchun Wong也在受害者之列——她在X平台上说,自己的密码在完全不知情的情况下被改了,账号不断收到密码重置请求,Instagram的iOS端还反复被强制登出。

    根子上的问题

    事件曝光后,Meta通讯主管Andy Stone在X上回应称漏洞已经被修复,公司正在对受影响账号采取保护措施。但事情并没有这么简单。

    《The Pragmatic Engineer》的作者Gergely Orosz指出,Instagram的信任与安全团队在过去几周被严重削弱——不是因为黑客太厉害,而是Meta自己把人裁了,或者把员工调去搞AI标注之类的活儿。

    结果就是一个并不复杂的利用手法,居然能成功。这背后是Meta过去一年的整体节奏:大规模裁员、强推AI工具、把安全团队的人力往AI业务上搬。效率和创新是有了,但地基被掏空了。

    目前Meta表示已经修复了相关漏洞,但这件事留下的疑问是:当一家公司的客服入口变成了AI,而AI又被设计成”尽量满足用户请求”的模式,那么”用户”到底是真人还是黑客,这个边界要怎么划?

    Meta AI客服聊天机器人被利用劫持账号
    Meta的AI客服聊天界面成了黑客攻击入口(图片来源:The Verge)

  • CNN把Perplexity告了:AI抄袭新闻,这次摊上大事了

    CNN正式起诉AI搜索初创公司Perplexity。诉状里写得很直白:Perplexity的AI工具在未经授权的情况下,大量生成CNN报道的”逐字逐句”(verbatim)复制内容,还把CNN付费墙后面的内容直接提供给用户。

    CNN起诉Perplexity AI版权侵权
    CNN诉Perplexity案,AI版权之争再添一枪

    “你不能版权保护事实”

    Perplexity发言人的回应相当强硬,只有一句话:“你不能版权保护事实。”

    这句话的潜台词是:我们AI搜出来的内容是对事实的整合,不是对表达的抄袭。这个论点AI公司一直在用,但在法庭上能不能站住脚,目前还是个未知数。

    “人类报道、研究、写作、编辑和创造的内容,Perplexity在未经许可或补偿的情况下就拿走了。”——CNN诉状

    一场谈崩了的合作

    这件事有点戏剧性。CNN和Perplexity其实谈过合作——2025年10月,双方差点签下内容授权协议,CNN的内容本来要以Perplexity的”Comet Plus”订阅服务形式出现。

    但谈判最后崩了。崩的原因是:双方对”Perplexity在AI回答里如何使用CNN内容”这件事,始终没能达成一致。CNN在2025年11月撕毁了协议,随后发律师函要求Perplexity停止未经授权使用其内容。

    据CNN说法,Perplexity根本没有回应这封律师函。于是就有了这起诉讼。

    一个标题就能复现抄袭?

    CNN在诉状里举了一个很具体的例子。他们发现,只要在Perplexity的搜索框里输入一篇CNN付费报道的标题——那篇叫《What’s next for Minneapolis? A shaky promise, mounting tensions and the fight for control》——Perplexity就会吐出”大量逐字复制”的内容片段。

    这对新闻机构来说是个噩梦场景:读者不再需要点开原网站,因为AI已经把核心内容”总结”好了——而且这个总结很可能直接复制了原文的大段文字。

    Perplexity的”诉讼收集成就”

    CNN不是第一家告Perplexity的。这家公司的诉讼清单已经长得有点离谱:

    • 《纽约时报》:美国最权威媒体之一,版权侵权诉讼正在进行中
    • 大英百科全书(Encyclopedia Britannica):reference类内容被AI全文抓取
    • 韦氏词典(Merriam-Webster):词典内容被AI直接输出
    • 新闻集团(News Corp):《华尔街日报》母公司,同样以版权侵权起诉
    • 亚马逊:涉及不正当竞争和技术滥用
    • Reddit:平台内容被未经授权地用于AI训练或输出

    这还只是已经公开的部分。Perplexity的商业模式本身就建立在对全网内容的抓取和重组之上,和所有内容生产者的利益天然冲突。

    AI版权战,才刚刚开始

    这起诉讼背后是一个更大的问题:AI到底能不能”未经许可”使用他人的内容?目前美国法院还没有给出明确答案。

    有的AI公司(比如OpenAI和Anthropic)选择主动和出版社谈授权协议,走”合法合规”路线。Perplexity的路线则更激进——先做了再说,等被诉再应对。

    CNN在诉状里要求损害赔偿,并要求法院永久禁止Perplexity的被诉行为。这个案子如果走到庭审阶段,可能会成为AI版权领域的一个重要判例。

    对做内容的人来说,这场仗必须打。如果AI可以零成本拿走所有内容,那以后还有谁愿意认真做报道?

  • AI骗子用假黑人卖9美元的Shein皮带扣:TikTok上的数字黑脸狂欢

    AI骗子用假黑人卖9美元的Shein皮带扣:TikTok上的数字黑脸狂欢

    阿里娅(Aliyah)在TikTok上哭着求大家救她的皮带扣生意——”哪怕作为黑人女性,我也相信白人女性会停留13秒来看我的视频。”这条视频获得了81.4万点赞、650万次播放。问题是:阿里娅根本不存在。

    她是AI生成的虚拟形象,目的是给一件代发的Shein廉价商品导流。同款皮带扣在Shein上卖9美元,而在”阿里娅的店铺”里,标价是40美元。

    AI生成的哭泣虚拟形象
    TikTok上用AI生成的”哭泣卖家”形象,用来诱导共情购买。来源:The Verge

    骗局是怎么运作的

    这类视频的套路高度模板化:一个”边缘群体小商户”在镜头前哭泣或展示手工过程,背景是简陋的工作台,配上文案说自己的生意快撑不下去了。评论区里一堆人表示”我来支持你”,然后点进主页链接下单。

    但实际上:商品是从Shein或AliExpress一件代发的大路货,售价翻了三四倍。整个视频——包括”手艺人”本人——全是AI生成的。声音机械、表情和语音不匹配、擦眼泪时泪痕会凭空消失,仔细看破绽不少。但问题是,TikTok用户刷视频的平均停留时间就几秒,大多数人根本不会仔细看。

    “这是’共情诱饵’,”AI生成媒体研究员杰里米·卡拉斯科(Jeremy Carrasco)说,”他们会找到能触动某个群体的叙事,然后用AI角色来带货。”

    数字黑脸:更深的伦理问题

    宾夕法尼亚大学传播学研究员茜恩娜·戴维斯(Cienna Davis)把这种现象称为”数字黑脸”——非黑人个体利用数字技术模仿黑人表达,以获取经济或政治利益。这个概念源自19世纪美国贬低黑人的”黑脸表演”(minstrelsy)传统。

    这类视频大量使用黑人女性作为AI生成主角,不是巧合。研究显示,美国用户在TikTok上更容易对”黑人小商户”的叙事产生共情,从而下单。骗子就是在利用这种种族化的共情机制来赚钱。

    费斯克大学哲学助理教授坦佩斯特·M·亨宁(Tempest M. Henning)进一步指出,即便操作者是黑人,”用漫画化的方式扮演黑人”依然属于黑脸表演的范畴。而现在的AI版本,是把”黑人性”彻底变成了可随意调用的模板。

    平台为什么不制止

    卡拉斯科估计,他的团队每天能发现多达100个此类AI生成带货账号。YouTube和各类论坛上甚至有人专门教人怎么用ChatGPT提取爆款视频脚本、用Kling 2.0或Seendance生成AI视频、然后替换成自己的商品链接——整个过程不需要实物样品、不需要真人出镜、不需要写脚本。

    平台为什么不行动?原因很直接:这类内容能留住用户停留时长,而停留时长就是广告收入。给AI生成内容打标签会减少推荐量,平台没有动力主动做这件事。目前只有部分平台要求标注”AI生成”,但执行力度非常有限。

    更讽刺的是,连名人都中过招。《波托马克富家太太》的主演吉泽尔·布莱恩特(Gizelle Bryant)曾在播客里承认,自己因为看到一个”AI生成的黑人小男孩被霸凌”的视频,买了两个钩针编织包。她还说”维奥拉·戴维斯也在评论区呢,我怎么会被骗?”

    • AI生成内容的数量正在指数级增长,人工审核根本跟不上
    • 平台缺乏强制性的AI内容标注机制,标签全靠创作者自觉
    • 用户媒介素养跟不上AI生成技术的迭代速度
    • 最核心的:这个骗局对平台来说是有利可图的

  • MIT发布2026年AI十大趋势:从人形机器人训练到反AI运动

    人形机器人训练数据:动作捕捉的新战场

    就像人类的文字成了大语言模型的养料,现在连人类怎么动、怎么走路、怎么搬东西,都被大规模收集起来训练人形机器人。这事儿听起来有点怪,但确实在发生——有公司专门建了”训练中心”,让工人一遍遍重复同样的动作,就为了给机器人提供学习素材。还有更离谱的”提线木偶”模式:远方的人类通过远程操控,手把手教机器人怎么做事。

    这种做法投入巨大,但没人能保证一定成功。可资本还是在砸钱,因为这可能是让机器人真正”活过来”的唯一路径。

    大语言模型没有死,它正在进化

    去年大家还在感叹大语言模型”改变了世界”,今年从业者已经在琢磨下一个突破在哪里。容易摘的果子已经摘完了,模型的提升越来越难,但这不意味着LLM要退出历史舞台。

    相反,它正在往两个方向走:一个是把现有的能力压榨到极致,另一个是在寻找全新的架构突破。这条路不好走,但走通了就是下一个时代。

    AI让诈骗变得便宜又高效

    以前想搞网络诈骗,还得学点技术、花点钱买工具。现在有了生成式AI,门槛几乎降到了地板上。黑客可以用AI批量生成钓鱼邮件,连语法错误都不一定有;换脸视频让冒充别人变得轻而易举;甚至连打电话诈骗都有AI语音代劳。

    AI正在让网络犯罪变得更便宜、更快、更容易——这对普通人来说不是什么好消息。

    世界模型:让AI理解物理世界

    大语言模型擅长处理文字,但要让AI进入真实物理世界——比如让机器人知道”杯子掉地上会碎”这种常识——就需要”世界模型”。这类系统试图让AI理解外部世界的运作规律,而不仅仅是预测下一个词。

    如果这条路走通了,AI就不再只是聊天工具,而是能真正在现实世界里做事情的智能体。这可能是下一波AI浪潮最核心的突破点。

    智能体编排:从单打独斗到团队协作

    早期的AI智能体只能干一件事——比如帮你订个外卖,或者写段代码。但现实世界里的问题往往是复杂的,需要多个步骤、多种能力配合。

    现在的方向是”智能体团队”:一个负责搜索、一个负责推理、一个负责执行,像人类团队一样分工协作。这比单个超级智能体更灵活,也更容易落地。很多公司已经在往这个方向押注了。

    中国的开源赌注:免费模型赢来的全球影响力

    DeepSeek、通义千问、智谱……中国实验室过去一年里密集开源了一大批高质量模型,而且真的好用。这让全球开发者突然意识到:原来不用OpenAI也能做出厉害的东西。

    但这种”免费送”的策略能不能持续,没人说得准。训练模型太烧钱了,光靠口碑和开发者好感,账算得过来吗?不管怎样,全世界已经在基于中国的基础模型搞开发了,这本身就已经改变了格局。

    AI科学家:当AI开始做科研

    有些公司已经在开发能自主做科研的AI——不是帮你查文献,而是真的能设计实验、分析数据、甚至提出新假设。支持者说,这种AI合作者有一天可能会达到诺贝尔奖的水平。

    这话听起来夸张,但想想十年前大家也觉得”AI下围棋赢人类”是天方夜谭。科学发现的门槛正在被重新定义。

    反AI运动:当大家开始说”够了”

    过去几年AI基本上是想怎么发展就怎么发展,监管跟不上,大家也沉浸在”新技术好厉害”的兴奋里。但现在这股浪潮遇到了真正的阻力。

    艺术家不满自己的作品被拿来训练模型,工会担心AI抢走工作,保守派和自由派居然在”限制AI”这件事上找到了共同点。这股反对力量还在早期,但已经在一些具体问题上取得了小胜利。AI的无约束时代,可能正在走向终点。

    写在最后

    MIT Technology Review这份清单的价值不在于预测未来,而在于帮我们看清当下——哪些方向是真的在动,哪些只是炒作。人形机器人、世界模型、智能体编排,这些是当前最值得盯着的变化;而AI安全、监管反弹、开源商业化困境,则是这个行业必须面对的考题。

    2026年的AI,已经不再是”能不能做出来”的问题,而是”应该怎么用、谁来管、往哪里去”的问题。

  • GPT-5.5把316道黑客题做对292道,网络安全评测体系被AI干碎了

    2026年5月27日,澳大利亚研究机构Lyptus Research发布了一份让网络安全圈相当震惊的报告:GPT-5.5在316道进攻性网络安全任务中解出了292道,正确率高达92.4%,直接把这套评测体系干到了”饱和”状态——剩下的24道题不足以支撑有统计意义的能力曲线拟合,评估方法宣告失效。

    换句话说,用来衡量AI黑客有多危险的尺子,先被AI自己弄坏了。

    “我们2025年12月搭建这套测试时,选的还是全球最难的题。2026年3月数据就出现饱和苗头。到5月,饱和已经成为事实。”——Lyptus Research 报告

    316道题,覆盖了黑客的”全科”

    这套评测不是纸上谈兵。316道任务覆盖了7个基准领域,包括漏洞利用、CTF夺旗赛题目、真实CVE漏洞复现三类,每道题都设置了人类安全专家的完成时间作为基线参考。

    GPT-5.5的表现相当于什么水平?Lyptus的评估是:顶级黑客团队的水平。不是脚本小子的水平,是那些能在真实环境中找到零日漏洞、写出可靠利用代码的人的水平。

    更有意思的是Token预算对能力的影响。在最难的基准CyberGym上,GPT-5.5在200万Token预算下正确率只有54.4%;推到5000万Token时,正确率飙升至86.4%——同一个模型,只因为给的算力更充裕,正确率涨了32个百分点。英国人工智能安全研究所(AISI)的独立研究也证实:给到1亿Token时模型能力仍在上涨,还没看到平台期。

    AI黑客能力每5到6个月翻一倍

    Lyptus从2024年开始追踪相关数据,拟合出的增长曲线相当吓人:AI进攻性网络安全能力,每5到6个月翻一倍

    这个”时间地平线”指标衡量的是:一个AI系统完成顶级难度任务平均需要多少时间(通过不断增加算力预算来测量)。2026年初,Claude Opus 4.6的时间地平线是3.2小时,GPT-5.3 Codex是3.1小时。两个月后,GPT-5.5的时间地平线直接拉到了5.1小时——如果放开算力上限让它冲过12小时的测量上限,这条曲线根本画不出来。

    问题在这里:时间地平线方法论原本的假设是,总会有比当前模型能力更难的题来锚定曲线的拐点。但GPT-5.5把所有题都做完了,拐点消失了,曲线无法拟合。评测体系不是被证伪了,是被模型能力的增长速度远远甩在了后面。

    头部厂商已经在”控”了

    意识到这个能力水平意味着什么之后,头部厂商的动作相当迅速:

    • Anthropic:4月发布Claude Mythos Preview,但因为网络安全能力过强,决定不公开发布。配套推出了Project Glasswing,只把模型部署给关键基础设施的防御方使用。
    • OpenAI:给GPT-5.5的网络安全能力评级为”High”(只比最高级”Critical”低一档),所有攻击相关能力均通过”Trusted Access for Cyber”门控,不是谁都能调用。
    • METR独立评估:拟合出Claude Mythos的时间地平线至少为16小时,但无法给出精确点估计——这意味着连独立评估机构都跟不上模型的边界了。

    最麻烦的问题:闭源能力迟早会开源

    Lyptus测量了一个叫”适应缓冲期”的指标:从一个闭源前沿能力首次出现,到同等能力出现在开源模型里,平均时间差是多少。在进攻性网络安全领域,这个数字是5.7到13.1个月

    按当前的速度,Mythos和GPT-5.5级别的攻击能力,2026年年内就可能以开源形式落到任何人手里。到那时候,没有”Trusted Access”门控,没有使用场景限制,只有一块显卡和一点好奇心。

    网络安全圈子里的普遍看法是:防御方本来就需要假设”攻击者拥有无限资源”,但当一个高中生也能在本地跑一个GPT-5.5级别的攻击模型时,”无限资源”的假设就不再是理论讨论了。

    连”最易量化”的领域都跟不上了

    这份报告最让人不安的地方,其实不在92.4%这个数字本身,而在于它暴露了一个结构性困境:网络安全是少数有明确成功判据(漏洞找到了没有?系统打穿了没有?)因而相对容易量化的AI能力领域。连这个领域的评估体系都已经失效了,那些更模糊、更难量化的能力维度——推理、规划、社会工程——的评估困境只会更突出。

    如果AI能力真的按照每6个月翻一倍的速度增长,一年后是当前的4倍,两年后是16倍。在通往AGI乃至ASI的路上,失效的评估体系只会越来越多,而不是逐渐被修好。

    对于安全研究者来说,这份报告给出的信号很直接:静态防御规则已经不够用了。当攻击方可以用AI实时生成针对特定目标环境的漏洞利用代码,防御方也必须用AI来对抗AI——而且是同样聪明、同样快速的AI。