策劃 | 李忠良

11 月 13 日，全球領(lǐng)先的 AI 實(shí)驗(yàn)室 Anthropic 發(fā)布了兩份令人警醒的報(bào)告。報(bào)告證實(shí)，早在今年 9 月，一場(chǎng)“高度復(fù)雜”的攻擊活動(dòng)已由 AI 徹底主導(dǎo)：黑客組織通過(guò) Claude Code 實(shí)現(xiàn)了 90% 的工作自動(dòng)化，每場(chǎng)攻擊中人類僅需參與 4–6 次關(guān)鍵決策。

Anthropic 直言，黑客對(duì) AI Agent 化能力的利用已達(dá)到“前所未有”的水平。這種“自主運(yùn)行、極少干預(yù)”的攻擊模式，正標(biāo)志著網(wǎng)絡(luò)安全進(jìn)入了一個(gè)充滿變數(shù)的轉(zhuǎn)折點(diǎn)。

正如 Anthropic 所警示的那樣，AI Agent 在錯(cuò)誤的人手中正顯著提升大規(guī)模攻擊的可行性。這與數(shù)美科技 CTO 梁堃對(duì)國(guó)內(nèi)黑灰產(chǎn)趨勢(shì)的觀察不謀而合。在梁堃看來(lái)，我們正面臨一場(chǎng)黑灰產(chǎn)全面完成“智能化”改造的代際跨越。

隨著黑灰產(chǎn)全面完成“智能化”改造，攻擊手段已從機(jī)械腳本進(jìn)化為具備思考與執(zhí)行能力的AI Agent。這種“去腳本化”的攻擊不僅能批量生產(chǎn)通過(guò)圖靈測(cè)試的高擬真內(nèi)容，更能利用多模態(tài)大模型與 Deepfake 實(shí)時(shí)突破行為驗(yàn)證與生物核驗(yàn)，致使傳統(tǒng)風(fēng)控防線失效。

面對(duì)“硅基黑產(chǎn)”的降維打擊，數(shù)美科技 CTO 梁堃指出防御必須下沉至物理世界的“第一性原理”。他詳解了穿透 AI 偽裝的 “反欺詐三定律”——利用物理設(shè)備的多樣性、信息邏輯的一致性以及社群網(wǎng)絡(luò)的關(guān)聯(lián)性來(lái)鎖定異常；同時(shí)，揭示了通過(guò)引入 “不確定性標(biāo)簽” 機(jī)制解決大模型“幻覺(jué)”問(wèn)題、將準(zhǔn)確率提升至工業(yè)級(jí)水平的技術(shù)路徑。

黑灰產(chǎn)的“智能體”革命

“今年以來(lái)，最直觀的感受是黑灰產(chǎn)正在全面利用大模型技術(shù)提高獲利效率?！痹趯ＴL間里，梁堃指出黑產(chǎn)技術(shù)的升級(jí)并非漸進(jìn)式的改良，而是一次結(jié)構(gòu)性的代際跨越。這種跨越，讓數(shù)字戰(zhàn)爭(zhēng)的性質(zhì)徹底改變。

最先被顛覆的是賬號(hào)孵化環(huán)節(jié)。在過(guò)去，黑產(chǎn)為了獲取用于薅羊毛或營(yíng)銷欺詐的高權(quán)重賬號(hào)，面臨著極高的“養(yǎng)號(hào)”成本。為了模擬真人，他們需要人工準(zhǔn)備大量文案在論壇回帖，一旦文案重復(fù)或邏輯不通，極易被風(fēng)控系統(tǒng)識(shí)別。

但現(xiàn)在，大模型成為了黑產(chǎn)最高效的生產(chǎn)力工具。利用 AI，黑產(chǎn)可以針對(duì)特定主題，自動(dòng)生成情感細(xì)膩、邏輯嚴(yán)密且千人千面的評(píng)論文案。這些 AI 生成的回復(fù)極具迷惑性，甚至能通過(guò)很多平臺(tái)的“圖靈測(cè)試”，將賬號(hào)養(yǎng)得“非常像真人”。這極大降低了黑產(chǎn)的門檻，使其能夠以極低成本批量制造出高權(quán)重的“幽靈賬號(hào)”。

比內(nèi)容生成更具威脅的，是攻擊工具的智能化升級(jí)?；仡櫤诋a(chǎn)行為模式的演變史，可以清晰地看到從“腳本”向“智能體”進(jìn)化的軌跡。早期黑產(chǎn)主要依賴“按鍵精靈”等自動(dòng)化腳本，其破綻在于機(jī)械化特征，例如非人類的點(diǎn)擊速度，或代碼中固定的暫停時(shí)間。

梁堃分析道：“一旦代碼里寫了固定的暫停時(shí)間，就會(huì)形成‘等間距特征’，這是非常明顯的異常?！?為了對(duì)抗識(shí)別，黑產(chǎn)曾嘗試加入隨機(jī)間隔，但這顯著增加了代碼編寫和維護(hù)的成本。

今年，這一博弈局面被徹底打破。黑產(chǎn)全面轉(zhuǎn)向 Agent。Agent 能夠理解指令并直接調(diào)用 API，其生成的點(diǎn)擊、瀏覽、交互行為序列具備極高的擬人度，且執(zhí)行成本幾乎為零。這種“去腳本化”的攻擊，讓傳統(tǒng)基于點(diǎn)擊頻率、間隔時(shí)間等規(guī)則的行為風(fēng)控防線面臨失效風(fēng)險(xiǎn)。

此外，在驗(yàn)證碼和身份認(rèn)證這一核心防線上，多模態(tài)技術(shù)也展現(xiàn)出了驚人的突破能力。面對(duì)“點(diǎn)擊圖中汽車”或空間推理類的行為驗(yàn)證碼，多模態(tài)大模型憑借強(qiáng)大的視覺(jué)識(shí)別和邏輯推理能力，已能輕松完成識(shí)別并繞過(guò)驗(yàn)證。更為警惕的是人臉識(shí)別技術(shù)的攻防升級(jí)。

據(jù)梁堃透露，AI 換臉技術(shù)已經(jīng)從簡(jiǎn)單的視頻替換進(jìn)化為實(shí)時(shí)對(duì)抗工具。黑產(chǎn)開(kāi)發(fā)了一套連接 PC 和手機(jī)的工具，當(dāng)人臉認(rèn)證系統(tǒng)要求手機(jī)屏幕變色進(jìn)行“光線活體檢測(cè)”時(shí)，該工具能實(shí)時(shí)采集人臉，并根據(jù)屏幕顏色變化實(shí)時(shí)調(diào)整假臉上的光影，從而成功騙過(guò)活體檢測(cè)系統(tǒng)。

此外，針對(duì)大模型本身的攻擊手段也層出不窮。一種名為“輸出劫持”的攻擊正在興起：黑產(chǎn)在網(wǎng)頁(yè)或簡(jiǎn)歷中利用人眼不可見(jiàn)的白色字體植入攻擊指令，誘導(dǎo) AI 系統(tǒng)執(zhí)行錯(cuò)誤操作。

面對(duì)武裝到牙齒的“硅基黑產(chǎn)”，靠純?nèi)斯せ騻鹘y(tǒng)規(guī)則去對(duì)抗已顯力不從心，防御體系必須進(jìn)化為“用 AI 對(duì)抗 AI”。

在“完美偽裝”中尋找破綻

反欺詐三定律

當(dāng) AI 能夠以極低的成本生成近乎完美的真人行為序列時(shí)，傳統(tǒng)的基于“圖靈測(cè)試”邏輯的風(fēng)控手段——即試圖通過(guò)交互來(lái)區(qū)分人與機(jī)器——面臨著失效的風(fēng)險(xiǎn)。面對(duì)這種不對(duì)稱的攻防態(tài)勢(shì)，防御的視角必須從“行為表象”下沉到物理世界和群體行為的“第一性原理”。數(shù)美科技 CTO 梁堃在專訪中將其總結(jié)為“反欺詐三定律”，這成為了穿透 AI 偽裝的核心邏輯。

這套防御哲學(xué)的首要支點(diǎn)，是利用“多樣性”來(lái)對(duì)抗機(jī)器的“統(tǒng)一性”。梁堃提出了第一定律：“好人是多種多樣的好，壞人是一樣的壞”。

在真實(shí)世界中，正常用戶的行為充滿了個(gè)性化的隨機(jī)性——手機(jī)型號(hào)涵蓋華為、蘋果、小米等各種品牌，系統(tǒng)版本各異，甚至電量也是隨機(jī)分布的，有的剩 30%，有的剩 70%。這種高度的“分散性”是自然行為的特征。

相反，黑產(chǎn)為了追求規(guī)?；@利的效率，必須控制成本，往往批量采購(gòu)相同的設(shè)備或使用同一套模擬環(huán)境。因此，如果防御系統(tǒng)觀測(cè)到一批賬號(hào)的手機(jī)型號(hào)完全相同，或者電量狀態(tài)呈現(xiàn)出反常的統(tǒng)一，那么無(wú)論它們的操作行為多么像人，這種物理層面的高度一致性都會(huì)暴露其機(jī)器本質(zhì)。

防御的第二層邏輯建立在“信息一致性”的校驗(yàn)上。這是第二定律的核心：好人的信息一致性極高，而壞人的信息一致性往往存在裂痕。正常用戶不會(huì)刻意頻繁更改 IP 地址或手機(jī)號(hào)等基礎(chǔ)信息。

然而，黑灰產(chǎn)的運(yùn)作模式?jīng)Q定了其必須在不同環(huán)節(jié)拼湊資源——這邊買 IP，那邊買手機(jī)號(hào)。這種資源的拼接過(guò)程往往會(huì)導(dǎo)致邏輯沖突，例如，一個(gè)社群內(nèi)的用戶雖然使用了五花八門的位置信息，但卻被檢測(cè)到連接了同一個(gè) WiFi MAC 地址，或者注冊(cè)時(shí)間與地理位置存在悖論。這種信息維度的割裂感，是 AI 再?gòu)?qiáng)大的生成能力也無(wú)法在物理層面彌合的邏輯硬傷。

然而，僅靠單點(diǎn)防御往往獨(dú)木難支，因此風(fēng)控的維度必須上升到“社群發(fā)現(xiàn)”的上帝視角，這也對(duì)應(yīng)了第三定律：好人的朋友通常是好人，而壞人往往呈現(xiàn)出孤立點(diǎn)或只與壞人關(guān)聯(lián)。通過(guò)構(gòu)建設(shè)備與環(huán)境的關(guān)聯(lián)網(wǎng)絡(luò)，防御者不再緊盯著單個(gè)賬號(hào)的行為，而是分析群體特征。

即便單個(gè) AI Agent 的行為再完美，一旦將其置于網(wǎng)絡(luò)結(jié)構(gòu)中，如果發(fā)現(xiàn)某個(gè)群體內(nèi) 90% 的設(shè)備型號(hào)相同，或者注冊(cè)時(shí)間呈現(xiàn)出非自然的聚集，這個(gè)“社群”的風(fēng)險(xiǎn)屬性便會(huì)被瞬間鎖定。

用“不確定性標(biāo)簽”重構(gòu)模型決策邏輯

當(dāng)然，防御者自身也在大量應(yīng)用大模型技術(shù)，但也面臨著模型“幻覺(jué)”帶來(lái)的誤判挑戰(zhàn)。在早期的實(shí)踐中，技術(shù)團(tuán)隊(duì)發(fā)現(xiàn)一個(gè)難以突破的瓶頸：無(wú)論是嘗試二次預(yù)訓(xùn)練還是更換訓(xùn)練方法等多種方案，大模型在風(fēng)控場(chǎng)景中的準(zhǔn)確率始終未能突破 90%，遠(yuǎn)低于預(yù)期的類似人類審核（99.98%）的精度。

通過(guò)深入分析，團(tuán)隊(duì)發(fā)現(xiàn)問(wèn)題的核心在于那些模棱兩可的樣本——即處于黑白之間的灰色地帶，這些樣本甚至在人工審核時(shí)都可能出現(xiàn)分歧，從而導(dǎo)致模型產(chǎn)生誤判。

梁堃將大模型出現(xiàn)幻覺(jué)的原因歸結(jié)為 Loss 函數(shù)設(shè)計(jì)上的問(wèn)題，并引用了 OpenAI 的研究觀點(diǎn)。他指出，現(xiàn)有的訓(xùn)練機(jī)制就像“學(xué)生考試”，答對(duì)題目得分，答錯(cuò)則不扣分。

因此，模型在遇到不會(huì)做的題時(shí)，最佳的策略便是“猜一個(gè)”。因?yàn)椴洛e(cuò)沒(méi)有懲罰，而猜對(duì)了則能獲得分?jǐn)?shù)。這種由懲罰機(jī)制所驅(qū)動(dòng)的策略，使得模型在面對(duì)模糊或無(wú)法確定的樣本時(shí)，傾向于做出一個(gè)確定的判斷，最終產(chǎn)生了幻覺(jué)。

為了解決這一由訓(xùn)練機(jī)制本身帶來(lái)的問(wèn)題，數(shù)美團(tuán)隊(duì)引入了一個(gè)關(guān)鍵方案：“不確定性標(biāo)簽”。這一機(jī)制改變了模型的應(yīng)試策略：當(dāng)大模型無(wú)法對(duì)某個(gè)內(nèi)容做出明確判斷時(shí)，系統(tǒng)不再?gòu)?qiáng)制要求它給出確定的答案，而是允許將該內(nèi)容標(biāo)記為“不確定”。

梁堃指出，通過(guò)引入這一選項(xiàng)，模型給出錯(cuò)誤判斷的比例大大降低，將幻覺(jué)率控制在 1% 甚至更低的水平，從而使模型的精度達(dá)到了工業(yè)級(jí)可用狀態(tài)。

然而，引入“不確定性標(biāo)簽”后，流程并未結(jié)束。梁堃強(qiáng)調(diào)，這些被標(biāo)記為“不確定”的樣本仍需進(jìn)行人工干預(yù)，進(jìn)行二次判斷。在這一過(guò)程中，人工不僅僅是對(duì)這些樣本進(jìn)行審核，更重要的是，如果人工基于這些樣本能夠制定出新的規(guī)則或標(biāo)準(zhǔn)，那么這些判斷結(jié)果將反向教會(huì)模型。

這種持續(xù)的反饋機(jī)制使得模型在不斷學(xué)習(xí)和改進(jìn)中，能夠逐步提升對(duì)模糊樣本的識(shí)別能力。

以“大模型審核 Agent ”為核心驅(qū)動(dòng)的 AI 風(fēng)控新范式

面對(duì)規(guī)模更大、語(yǔ)義更復(fù)雜、對(duì)抗更激烈的挑戰(zhàn)，傳統(tǒng)的“機(jī)審 + 人審”舊范式已難以為繼。為此，以“大模型審核 Agent ”為核心驅(qū)動(dòng)的“ AI 風(fēng)控新范式”成為了新的趨勢(shì)。梁堃表示，傳統(tǒng)風(fēng)控往往停留在識(shí)別違規(guī)關(guān)鍵詞或圖片的表層，而新范式則強(qiáng)調(diào)對(duì)“意圖”與“潛臺(tái)詞”的深度理解。

面對(duì) AI 的錯(cuò)誤、AI 的侵權(quán)及對(duì) AI 的“攻擊”等新型挑戰(zhàn)，數(shù)美重構(gòu)了“人機(jī)協(xié)同”模式——引入基于大模型的審核 Agent。

“Agent 不再是輔助工具，而是能夠像人類一樣思考的‘?dāng)?shù)字員工’?！?這一變革將風(fēng)控體系升級(jí)為“AI 機(jī)器審核 + 大模型審核 Agent + 專家決策”的三角鏈路，大幅提升了對(duì)復(fù)雜風(fēng)險(xiǎn)的研判能力。

在賬號(hào)安全領(lǐng)域，黑產(chǎn)已利用 AI 技術(shù)實(shí)現(xiàn)了“降維打擊”，不僅能批量制造高擬真的虛假賬號(hào)，甚至能利用 Deepfake 偽造人臉和視頻進(jìn)行欺詐。對(duì)此，數(shù)美的應(yīng)對(duì)之策是：“新一代設(shè)備指紋”與“深度行為分析”。

通過(guò)全面引入微行為分析與 LLM 技術(shù)，數(shù)美能夠基于賬號(hào)的行為序列與團(tuán)伙特征，精準(zhǔn)揪出偽裝在屏幕背后的“ AI 幽靈”，真正實(shí)現(xiàn)“用 AI 對(duì)抗 AI ” 。

當(dāng)黑產(chǎn)完成了智能體進(jìn)化，風(fēng)控的終局便不再是單純的技術(shù)博弈，而是防御體系的代際躍遷。在這場(chǎng)用 AI 對(duì)抗 AI 的戰(zhàn)役中，唯有依托機(jī)器 +Agent+ 專家的三角協(xié)同，將防御從線性的規(guī)則攔截升級(jí)為立體的意圖洞察，我們才能在不斷被 AI 模糊的真假邊界中，重建起堅(jiān)固的數(shù)字信任防線。