11 月 13 日,全球领先的 AI 实验室 Anthropic 发布了两份报告,揭示了一个严峻的事实:早在今年9月,一场“高度复杂”的网络攻击已主要由AI主导。黑客组织利用 Claude Code 实现了约90%攻击流程的自动化,人类仅需在每场攻击中做出4到6次关键决策。
Anthropic 警告称,黑客对AI Agent(智能体)能力的运用已达到“前所未有”的水平。这种“自主运行、极少干预”的攻击模式,标志着网络安全进入了一个新的、充满变数的阶段。
Anthropic 的警示与数美科技 CTO 梁堃对国内黑灰产趋势的观察高度一致。梁堃指出,我们正目睹黑灰产完成一次全面的“智能化”代际跨越。攻击手段已从机械的脚本进化为具备思考与执行能力的AI Agent。这种“去脚本化”的攻击不仅能批量生成通过图灵测试的高拟真内容,更能利用多模态大模型技术与Deepfake技术实时突破行为验证与生物核验,导致传统风控防线大面积失效。
面对“硅基黑产”的降维打击,防御思路必须回归物理世界的“第一性原理”。梁堃提出了穿透AI伪装的“反欺诈三定律”,并揭示了通过引入“不确定性标签”机制来攻克大模型“幻觉”、将风控精度提升至工业级水平的技术路径。
黑灰产的“智能体”革命:从脚本到Agent
“今年以来,最直观的感受是黑灰产正在全面利用大模型技术提高获利效率。”梁堃强调,这不是渐进改良,而是一次结构性的代际跨越,彻底改变了数字攻防的性质。
首当其冲被颠覆的是账号孵化环节。过去,黑产“养号”成本高昂,需要人工准备大量文案来模拟真人,极易因重复或逻辑问题被识别。如今,大模型成了最高效的生产力工具。AI可以针对特定主题,自动生成情感细腻、逻辑严密且千人千面的内容,轻松通过平台的“图灵测试”,以极低成本批量制造高权重的“幽灵账号”。
更具威胁的是攻击工具的智能化升级。黑产行为模式经历了从“脚本”到“智能体”的清晰进化。早期依赖“按键精灵”等脚本,其机械化特征(如固定点击间隔)是明显破绽。加入随机间隔虽能对抗识别,却大幅增加了编码和维护成本。
今年,博弈局面被彻底打破。黑产全面转向Agent。Agent能理解指令并直接调用API,其生成的点击、浏览、交互行为序列拟人度极高,且执行成本趋近于零。这种“去脚本化”攻击,让基于点击频率、间隔时间等规则的传统行为风控面临失效风险。
在验证码和身份认证的核心防线,多模态技术也展现出惊人突破力。面对空间推理类行为验证码,多模态大模型凭借强大的视觉识别与逻辑推理能力已能轻松绕过。更需警惕的是人脸识别攻防的升级。梁堃透露,AI换脸技术已从简单的视频替换,进化为能实时对抗活体检测的工具。黑产通过连接PC和手机的工具,可实时采集人脸并根据屏幕颜色变化调整假脸光影,从而骗过检测。
此外,针对大模型本身的“输出劫持”攻击正在兴起:黑产在网页或简历中利用人眼不可见的白色字体植入攻击指令,诱导AI系统执行错误操作。面对武装到牙齿的“硅基黑产”,纯人工或传统规则对抗已力不从心,防御体系必须进化为“用AI对抗AI”。
在“完美伪装”中寻找破绽:反欺诈三定律
当AI能以低成本生成近乎完美的真人行为序列时,传统基于“图灵测试”的风控逻辑面临失效。防御视角必须从“行为表象”下沉到物理世界和群体行为的“第一性原理”。梁堃将其总结为“反欺诈三定律”。
-
多样性定律:好人是多种多样的好,坏人是一样的坏。
真实用户的行为充满个性化随机性——设备型号、系统版本、电量状态高度分散。而黑产为控制成本、追求规模效率,往往批量采购相同设备或使用同一模拟环境。因此,若观测到一批账号的设备型号完全相同或电量状态反常统一,这种物理层面的高度一致性便暴露了其机器本质。
-
一致性定律:好人的信息一致性极高,坏人的信息一致性存在裂痕。
正常用户不会频繁更改IP、手机号等基础信息。黑灰产的运作模式则需在不同环节拼凑资源(如分开购买IP和手机号),易导致逻辑冲突。例如,一个社群用户地理位置五花八门,却被检测到连接了同一WiFi MAC地址;或注册时间与地理位置存在悖论。这种信息维度的割裂感,是AI生成能力无法在物理层面弥合的逻辑硬伤。
-
关联性定律:好人的朋友通常是好人,坏人往往呈孤立点或只与坏人关联。
通过构建设备与环境的关联网络,从“上帝视角”分析群体特征。即便单个AI Agent行为完美,一旦置于网络中发现某个群体内90%设备型号相同,或注册时间呈非自然聚集,这个“社群”的风险属性便会被瞬间锁定。
用“不确定性标签”重构模型决策逻辑
防御方同样大量应用大模型技术,但也面临模型“幻觉”导致的误判挑战。早期实践中,团队发现无论采用二次预训练还是更换训练方法,大模型在风控场景中的准确率始终难以突破90%,远低于人类审核(99.98%)的精度。
深入分析后,问题核心在于那些模棱两可的“灰色地带”样本,这些样本甚至在人工审核时都可能产生分歧,导致模型误判。梁堃将大模型幻觉归因于Loss函数设计问题,并引用OpenAI的观点:现有训练机制如同“学生考试”,答对得分,答错不扣分。因此,遇到不会的题时,模型的最优策略是“猜一个”,因为猜错无惩罚,猜对则有收益。这种机制驱使模型对模糊样本也做出确定判断,从而产生幻觉。
为解决此问题,数美团队引入了关键方案:“不确定性标签”。该机制改变了模型的“应试”策略:当大模型无法对内容做出明确判断时,系统允许其标记为“不确定”,而非强制给出确定答案。梁堃指出,引入此选项后,模型做出错误判断的比例大幅降低,将幻觉率控制在1%甚至更低,使模型精度达到工业级可用水平。
引入“不确定性标签”后,流程并未结束。这些被标记为“不确定”的样本仍需进行人工二次判断。人工审核不仅能处理这些疑难样本,更重要的是,如果审核过程中能总结出新的规则或标准,这些判断结果将反向“教会”模型。这种持续的反馈机制,使模型能不断学习,逐步提升对模糊样本的识别能力。
以“大模型审核 Agent”为核心驱动的AI风控新范式
面对规模更大、语义更复杂、对抗更激烈的挑战,传统“机审+人审”模式已难以为继。以“大模型审核 Agent”为核心的“AI风控新范式”成为新趋势。梁堃表示,传统风控多停留在识别违规关键词或图片的表层,而新范式强调对“意图”与“潜台词”的深度理解。
为应对AI生成内容的错误、侵权及对AI本身的攻击等新型挑战,数美重构了“人机协同”模式,引入基于大模型的审核Agent。“Agent不再是辅助工具,而是能够像人类一样思考的‘数字员工’。”这一变革将风控体系升级为“AI机器审核 + 大模型审核Agent + 专家决策”的三角协同链路,大幅提升了对复杂风险的研判能力。
在账号安全领域,黑产利用AI实现了“降维打击”。对此,数美的应对之策是“新一代设备指纹”与“深度行为分析”。通过全面引入微行为分析与LLM技术,基于账号的行为序列与团伙特征,精准识别伪装在屏幕后的“AI幽灵”,真正实现“用AI对抗AI”。
当黑产完成智能体进化,风控的终局便不再是单纯的技术博弈,而是防御体系的代际跃迁。在这场用AI对抗AI的战役中,唯有依托机器、Agent与专家的三角协同,将防御从线性的规则拦截升级为立体的意图洞察,才能在不断被AI模糊的真假边界中,重建起坚固的数字信任防线。
发表于 6 小时前
|
查看: 1|
回复: 0
