策劃 | 李忠良

11 月 13 日，全球領(lǐng)先的 AI 實驗室 Anthropic 發(fā)布了兩份令人警醒的報告。報告證實，早在今年 9 月，一場“高度復(fù)雜”的攻擊活動已由 AI 徹底主導(dǎo)：黑客組織通過 Claude Code 實現(xiàn)了 90% 的工作自動化，每場攻擊中人類僅需參與 4–6 次關(guān)鍵決策。

Anthropic 直言，黑客對 AI Agent 化能力的利用已達到“前所未有”的水平。這種“自主運行、極少干預(yù)”的攻擊模式，正標(biāo)志著網(wǎng)絡(luò)安全進入了一個充滿變數(shù)的轉(zhuǎn)折點。

正如 Anthropic 所警示的那樣，AI Agent 在錯誤的人手中正顯著提升大規(guī)模攻擊的可行性。這與數(shù)美科技 CTO 梁堃對國內(nèi)黑灰產(chǎn)趨勢的觀察不謀而合。在梁堃看來，我們正面臨一場黑灰產(chǎn)全面完成“智能化”改造的代際跨越。

隨著黑灰產(chǎn)全面完成“智能化”改造，攻擊手段已從機械腳本進化為具備思考與執(zhí)行能力的AI Agent。這種“去腳本化”的攻擊不僅能批量生產(chǎn)通過圖靈測試的高擬真內(nèi)容，更能利用多模態(tài)大模型與 Deepfake 實時突破行為驗證與生物核驗，致使傳統(tǒng)風(fēng)控防線失效。

面對“硅基黑產(chǎn)”的降維打擊，數(shù)美科技 CTO 梁堃指出防御必須下沉至物理世界的“第一性原理”。他詳解了穿透 AI 偽裝的 “反欺詐三定律”——利用物理設(shè)備的多樣性、信息邏輯的一致性以及社群網(wǎng)絡(luò)的關(guān)聯(lián)性來鎖定異常；同時，揭示了通過引入 “不確定性標(biāo)簽” 機制解決大模型“幻覺”問題、將準(zhǔn)確率提升至工業(yè)級水平的技術(shù)路徑。

黑灰產(chǎn)的“智能體”革命

“今年以來，最直觀的感受是黑灰產(chǎn)正在全面利用大模型技術(shù)提高獲利效率?！痹趯ＴL間里，梁堃指出黑產(chǎn)技術(shù)的升級并非漸進式的改良，而是一次結(jié)構(gòu)性的代際跨越。這種跨越，讓數(shù)字戰(zhàn)爭的性質(zhì)徹底改變。

最先被顛覆的是賬號孵化環(huán)節(jié)。在過去，黑產(chǎn)為了獲取用于薅羊毛或營銷欺詐的高權(quán)重賬號，面臨著極高的“養(yǎng)號”成本。為了模擬真人，他們需要人工準(zhǔn)備大量文案在論壇回帖，一旦文案重復(fù)或邏輯不通，極易被風(fēng)控系統(tǒng)識別。

但現(xiàn)在，大模型成為了黑產(chǎn)最高效的生產(chǎn)力工具。利用 AI，黑產(chǎn)可以針對特定主題，自動生成情感細膩、邏輯嚴密且千人千面的評論文案。這些 AI 生成的回復(fù)極具迷惑性，甚至能通過很多平臺的“圖靈測試”，將賬號養(yǎng)得“非常像真人”。這極大降低了黑產(chǎn)的門檻，使其能夠以極低成本批量制造出高權(quán)重的“幽靈賬號”。

比內(nèi)容生成更具威脅的，是攻擊工具的智能化升級?；仡櫤诋a(chǎn)行為模式的演變史，可以清晰地看到從“腳本”向“智能體”進化的軌跡。早期黑產(chǎn)主要依賴“按鍵精靈”等自動化腳本，其破綻在于機械化特征，例如非人類的點擊速度，或代碼中固定的暫停時間。

梁堃分析道：“一旦代碼里寫了固定的暫停時間，就會形成‘等間距特征’，這是非常明顯的異常?！?為了對抗識別，黑產(chǎn)曾嘗試加入隨機間隔，但這顯著增加了代碼編寫和維護的成本。

今年，這一博弈局面被徹底打破。黑產(chǎn)全面轉(zhuǎn)向 Agent。Agent 能夠理解指令并直接調(diào)用 API，其生成的點擊、瀏覽、交互行為序列具備極高的擬人度，且執(zhí)行成本幾乎為零。這種“去腳本化”的攻擊，讓傳統(tǒng)基于點擊頻率、間隔時間等規(guī)則的行為風(fēng)控防線面臨失效風(fēng)險。

此外，在驗證碼和身份認證這一核心防線上，多模態(tài)技術(shù)也展現(xiàn)出了驚人的突破能力。面對“點擊圖中汽車”或空間推理類的行為驗證碼，多模態(tài)大模型憑借強大的視覺識別和邏輯推理能力，已能輕松完成識別并繞過驗證。更為警惕的是人臉識別技術(shù)的攻防升級。

據(jù)梁堃透露，AI 換臉技術(shù)已經(jīng)從簡單的視頻替換進化為實時對抗工具。黑產(chǎn)開發(fā)了一套連接 PC 和手機的工具，當(dāng)人臉認證系統(tǒng)要求手機屏幕變色進行“光線活體檢測”時，該工具能實時采集人臉，并根據(jù)屏幕顏色變化實時調(diào)整假臉上的光影，從而成功騙過活體檢測系統(tǒng)。

此外，針對大模型本身的攻擊手段也層出不窮。一種名為“輸出劫持”的攻擊正在興起：黑產(chǎn)在網(wǎng)頁或簡歷中利用人眼不可見的白色字體植入攻擊指令，誘導(dǎo) AI 系統(tǒng)執(zhí)行錯誤操作。

面對武裝到牙齒的“硅基黑產(chǎn)”，靠純?nèi)斯せ騻鹘y(tǒng)規(guī)則去對抗已顯力不從心，防御體系必須進化為“用 AI 對抗 AI”。

在“完美偽裝”中尋找破綻

反欺詐三定律

當(dāng) AI 能夠以極低的成本生成近乎完美的真人行為序列時，傳統(tǒng)的基于“圖靈測試”邏輯的風(fēng)控手段——即試圖通過交互來區(qū)分人與機器——面臨著失效的風(fēng)險。面對這種不對稱的攻防態(tài)勢，防御的視角必須從“行為表象”下沉到物理世界和群體行為的“第一性原理”。數(shù)美科技 CTO 梁堃在專訪中將其總結(jié)為“反欺詐三定律”，這成為了穿透 AI 偽裝的核心邏輯。

這套防御哲學(xué)的首要支點，是利用“多樣性”來對抗機器的“統(tǒng)一性”。梁堃提出了第一定律：“好人是多種多樣的好，壞人是一樣的壞”。

在真實世界中，正常用戶的行為充滿了個性化的隨機性——手機型號涵蓋華為、蘋果、小米等各種品牌，系統(tǒng)版本各異，甚至電量也是隨機分布的，有的剩 30%，有的剩 70%。這種高度的“分散性”是自然行為的特征。

相反，黑產(chǎn)為了追求規(guī)模化獲利的效率，必須控制成本，往往批量采購相同的設(shè)備或使用同一套模擬環(huán)境。因此，如果防御系統(tǒng)觀測到一批賬號的手機型號完全相同，或者電量狀態(tài)呈現(xiàn)出反常的統(tǒng)一，那么無論它們的操作行為多么像人，這種物理層面的高度一致性都會暴露其機器本質(zhì)。

防御的第二層邏輯建立在“信息一致性”的校驗上。這是第二定律的核心：好人的信息一致性極高，而壞人的信息一致性往往存在裂痕。正常用戶不會刻意頻繁更改 IP 地址或手機號等基礎(chǔ)信息。

然而，黑灰產(chǎn)的運作模式?jīng)Q定了其必須在不同環(huán)節(jié)拼湊資源——這邊買 IP，那邊買手機號。這種資源的拼接過程往往會導(dǎo)致邏輯沖突，例如，一個社群內(nèi)的用戶雖然使用了五花八門的位置信息，但卻被檢測到連接了同一個 WiFi MAC 地址，或者注冊時間與地理位置存在悖論。這種信息維度的割裂感，是 AI 再強大的生成能力也無法在物理層面彌合的邏輯硬傷。

然而，僅靠單點防御往往獨木難支，因此風(fēng)控的維度必須上升到“社群發(fā)現(xiàn)”的上帝視角，這也對應(yīng)了第三定律：好人的朋友通常是好人，而壞人往往呈現(xiàn)出孤立點或只與壞人關(guān)聯(lián)。通過構(gòu)建設(shè)備與環(huán)境的關(guān)聯(lián)網(wǎng)絡(luò)，防御者不再緊盯著單個賬號的行為，而是分析群體特征。

即便單個 AI Agent 的行為再完美，一旦將其置于網(wǎng)絡(luò)結(jié)構(gòu)中，如果發(fā)現(xiàn)某個群體內(nèi) 90% 的設(shè)備型號相同，或者注冊時間呈現(xiàn)出非自然的聚集，這個“社群”的風(fēng)險屬性便會被瞬間鎖定。

用“不確定性標(biāo)簽”重構(gòu)模型決策邏輯

當(dāng)然，防御者自身也在大量應(yīng)用大模型技術(shù)，但也面臨著模型“幻覺”帶來的誤判挑戰(zhàn)。在早期的實踐中，技術(shù)團隊發(fā)現(xiàn)一個難以突破的瓶頸：無論是嘗試二次預(yù)訓(xùn)練還是更換訓(xùn)練方法等多種方案，大模型在風(fēng)控場景中的準(zhǔn)確率始終未能突破 90%，遠低于預(yù)期的類似人類審核（99.98%）的精度。

通過深入分析，團隊發(fā)現(xiàn)問題的核心在于那些模棱兩可的樣本——即處于黑白之間的灰色地帶，這些樣本甚至在人工審核時都可能出現(xiàn)分歧，從而導(dǎo)致模型產(chǎn)生誤判。

梁堃將大模型出現(xiàn)幻覺的原因歸結(jié)為 Loss 函數(shù)設(shè)計上的問題，并引用了 OpenAI 的研究觀點。他指出，現(xiàn)有的訓(xùn)練機制就像“學(xué)生考試”，答對題目得分，答錯則不扣分。

因此，模型在遇到不會做的題時，最佳的策略便是“猜一個”。因為猜錯沒有懲罰，而猜對了則能獲得分數(shù)。這種由懲罰機制所驅(qū)動的策略，使得模型在面對模糊或無法確定的樣本時，傾向于做出一個確定的判斷，最終產(chǎn)生了幻覺。

為了解決這一由訓(xùn)練機制本身帶來的問題，數(shù)美團隊引入了一個關(guān)鍵方案：“不確定性標(biāo)簽”。這一機制改變了模型的應(yīng)試策略：當(dāng)大模型無法對某個內(nèi)容做出明確判斷時，系統(tǒng)不再強制要求它給出確定的答案，而是允許將該內(nèi)容標(biāo)記為“不確定”。

梁堃指出，通過引入這一選項，模型給出錯誤判斷的比例大大降低，將幻覺率控制在 1% 甚至更低的水平，從而使模型的精度達到了工業(yè)級可用狀態(tài)。

然而，引入“不確定性標(biāo)簽”后，流程并未結(jié)束。梁堃強調(diào)，這些被標(biāo)記為“不確定”的樣本仍需進行人工干預(yù)，進行二次判斷。在這一過程中，人工不僅僅是對這些樣本進行審核，更重要的是，如果人工基于這些樣本能夠制定出新的規(guī)則或標(biāo)準(zhǔn)，那么這些判斷結(jié)果將反向教會模型。

這種持續(xù)的反饋機制使得模型在不斷學(xué)習(xí)和改進中，能夠逐步提升對模糊樣本的識別能力。

以“大模型審核 Agent ”為核心驅(qū)動的 AI 風(fēng)控新范式

面對規(guī)模更大、語義更復(fù)雜、對抗更激烈的挑戰(zhàn)，傳統(tǒng)的“機審 + 人審”舊范式已難以為繼。為此，以“大模型審核 Agent ”為核心驅(qū)動的“ AI 風(fēng)控新范式”成為了新的趨勢。梁堃表示，傳統(tǒng)風(fēng)控往往停留在識別違規(guī)關(guān)鍵詞或圖片的表層，而新范式則強調(diào)對“意圖”與“潛臺詞”的深度理解。

面對 AI 的錯誤、AI 的侵權(quán)及對 AI 的“攻擊”等新型挑戰(zhàn)，數(shù)美重構(gòu)了“人機協(xié)同”模式——引入基于大模型的審核 Agent。

“Agent 不再是輔助工具，而是能夠像人類一樣思考的‘?dāng)?shù)字員工’?！?這一變革將風(fēng)控體系升級為“AI 機器審核 + 大模型審核 Agent + 專家決策”的三角鏈路，大幅提升了對復(fù)雜風(fēng)險的研判能力。

在賬號安全領(lǐng)域，黑產(chǎn)已利用 AI 技術(shù)實現(xiàn)了“降維打擊”，不僅能批量制造高擬真的虛假賬號，甚至能利用 Deepfake 偽造人臉和視頻進行欺詐。對此，數(shù)美的應(yīng)對之策是：“新一代設(shè)備指紋”與“深度行為分析”。

通過全面引入微行為分析與 LLM 技術(shù)，數(shù)美能夠基于賬號的行為序列與團伙特征，精準(zhǔn)揪出偽裝在屏幕背后的“ AI 幽靈”，真正實現(xiàn)“用 AI 對抗 AI ” 。

當(dāng)黑產(chǎn)完成了智能體進化，風(fēng)控的終局便不再是單純的技術(shù)博弈，而是防御體系的代際躍遷。在這場用 AI 對抗 AI 的戰(zhàn)役中，唯有依托機器 +Agent+ 專家的三角協(xié)同，將防御從線性的規(guī)則攔截升級為立體的意圖洞察，我們才能在不斷被 AI 模糊的真假邊界中，重建起堅固的數(shù)字信任防線。