大家好,
我一直关注Will的AI Lab通讯,非常欣赏他对开源AI和基于代理的学习的见解,尤其是他最近关于多代理系统中涌现行为的文章。
最近,我收到一封邮件,内容提到一个受OpenClaw启发的合作项目,专注于机器人应用的去中心化学习。邮件邀请我作为早期测试者提供反馈,项目通过一个轻量级的Telegram机器人进行协调。消息中提到了我非常感兴趣的领域:去中心化机器学习、机器人技术以及混沌生物OpenClaw,这让我产生了浓厚的兴趣。
接下来几封邮件中,发信人详细介绍了他们团队正在开发的开源联邦学习机器人项目,甚至提到部分研究人员曾在著名的国防高级研究计划局(DARPA)参与过类似项目,并附上了一个Telegram机器人链接,演示项目的工作原理。
然而,事情并非如此简单。尽管我非常喜欢分布式机器人OpenClaw的理念(如果你们真的在做这类项目,欢迎联系我!),但邮件中有些细节让我产生怀疑。比如,我找不到任何关于DARPA项目的公开信息,而且为什么要通过Telegram机器人连接?
事实证明,这些邮件是一次社会工程攻击,目的是诱使我点击链接,从而让攻击者获得对我设备的访问权限。最令人震惊的是,这次攻击完全由开源模型DeepSeek-V3设计和执行。该模型不仅设计了开场白,还根据我的回复巧妙回应,既激起我的兴趣,又不暴露太多信息。
幸运的是,这并非真实攻击。我是在运行一家名为Charlemagne Labs的初创公司开发的工具时,在终端窗口中观察到这场网络魅力攻势的全过程。
该工具让不同的AI模型分别扮演攻击者和目标的角色,能够进行数百甚至数千次测试,评估AI模型在执行复杂社会工程攻击时的说服力,或者判断一个评判模型是否能迅速识破骗局。我还看到另一个DeepSeek-V3实例代表我回复消息,配合骗局,来回对话异常逼真,让我几乎会在未察觉的情况下点击可疑链接。
我尝试了多款AI模型,包括Anthropic的Claude 3 Haiku、OpenAI的GPT-4o、Nvidia的Nemotron、DeepSeek的V3以及阿里巴巴的Qwen。这些模型都被告知正在参与一场社会工程实验,设计各种骗局试图诱骗我泄露数据。
并非所有方案都令人信服,有些模型会混淆,开始胡言乱语暴露骗局,或者拒绝参与欺诈行为,即使只是为了研究目的。但这款工具清楚展示了AI如何轻松自动生成大规模诈骗内容。
这种情况在Anthropic最新模型Mythos发布后显得尤为紧迫。Mythos因其发现零日漏洞的高级能力被称为“网络安全的觉醒”,目前仅向少数公司和政府机构开放,用于提前扫描和加固系统。
我的实验表明,AI的社交能力可能已经对许多用户构成严重威胁。
Charlemagne Labs联合创始人、前Meta项目经理Jeremy Philip Galen表示:“当代企业攻击90%的根源是人为风险。”Meta曾使用Charlemagne Labs的工具测试其最新模型Muse Spark的能力。Charlemagne Labs还开发了名为Charley的工具,利用AI监控来信并提醒用户潜在诈骗。
Galen说:“大家都承认,如果这些模型在推理和写作上非常出色,那么它们在社会工程方面也会非常擅长。”然而,目前对这些能力和风险的量化研究却非常有限。
AI模型在对话中常表现出的奉承和讨好倾向,使它们成为实施诈骗的理想工具。自动化整个诈骗流程并不难。我甚至让OpenClaw帮我挖掘了大量潜在目标的有用信息和联系方式。
SocialProof公司CEO兼联合创始人Rachel Tobac表示,诈骗者已经利用AI生成邮件、克隆声音、制作假视频,进行语音和视频社会工程诈骗,且已有多起高调事件曝光。
她指出,AI特别擅长自动化识别优质攻击目标的研究工作。“我不认为AI让攻击更具说服力,但它确实让单个人能够大规模发动攻击。整个杀伤链正在实现自动化。”
随着AI模型能力提升,关于是否应发布开源版本的争论也会加剧。Charlemagne Labs联合创始人Richard Whaling认为,拥有强大的防御模型可能比风险更重要。“我们依赖开源模型来训练防御模型,这依赖于健康的开源社区,这可能是我们唯一可行的防御方式。”
这篇报道摘自Will Knight的AI Lab通讯。
