马斯克被伪造20次后，AI把"平均脸"卖成了信任

2025年头三个月， celebrity deepfake（深度伪造）攻击暴涨81%，马斯克一人扛下20次。但比数字更诡异的是：当你让AI画一张名人照片，它从不"调取"真实图像，而是现场"捏"一张从未存在过的脸——这张假脸，往往比真人更顺眼。

为什么AI宁造假的，也不给真的

这事得从生成对抗网络（GANs）和扩散模型（Diffusion Models）的工作逻辑说起。它们不是搜索引擎，不会翻数据库找图。用个不准确的类比：你让AI画"蒙娜丽莎"，它不会上网搜卢浮宫官网，而是根据看过的几百万张画，现场拼凑一张"最像蒙娜丽莎的蒙娜丽莎"。

技术细节是这样的。GANs由两个神经网络互掐：生成器负责造假，判别器负责打假。生成器画一张脸，判别器判断真假；如果被判出来是假的，生成器就调整参数重画。循环往复，直到判别器也分不清真假。整个过程里，系统从未"记住"任何一张具体照片，只学会了"人脸的统计学规律"。

所以当用户输入"Taylor Swift"，模型输出的不是某场演唱会的抓拍，而是基于千万张Swift照片压缩出来的"平均版本"。这张脸不存在于任何相册，却可能比真实的Swift更对称、更光滑、更"标准"——也就是研究里说的，更"值得信赖"。

这解释了2025年Q1那组刺眼的数据：47起 celebrity deepfake 攻击，38%被用于诈骗。骗子不需要费劲找高清原图，AI直接生成一张"比真人还真"的脸，用户反而更容易上当。

"平均脸"陷阱：越假，越像真的

2016年就有研究发现，人们对"平均化"的人脸评价更高——对称、无明显瑕疵、没有记忆点。AI生成的 celebrity 面孔恰好踩中这个心理盲区。它不是某个具体时刻的Swift或Musk，而是"Swift-ness"或"Musk-ness"的提纯物。

问题在于，这种"提纯"正在模糊真实与合成的边界。当用户向对话式图像系统索要名人照片时，系统不会标注"此为AI生成"，也不会附上一行小字"该人物从未以这个表情、这个角度、这个光线存在过"。用户拿到的是一张技术意义上的"原创图片"，视觉意义上的"熟悉面孔"，法律意义上的"灰色地带"。

更麻烦的是检索增强生成（RAG）技术的介入。RAG本想让AI先搜真实信息再回答，但图像领域的RAG往往变成"搜到参考图→扔给生成器→输出变体"。参考图的存在给了用户"有来源"的错觉，实际输出的仍是合成品。这就像厨师声称菜谱来自米其林餐厅，端上来的却是分子料理——成分可能类似，但绝不是那道菜。

技术、法律、平台：三方都在踢皮球

目前的治理框架明显跟不上生成速度。水印技术（C2PA、数字水印）理论上可以标记AI内容，但2025年的攻击事件里，这些标记要么被移除，要么从未被添加。平台的内容审核面对指数级增长的合成图像，基本处于"打地鼠"状态。

法律层面更混乱。美国部分州有 deepfake 专项立法，但跨州、跨国案件管辖权模糊。欧盟《人工智能法案》要求AI生成内容标注，但对"生成式检索"这种 hybrid（混合）形态——既有搜索动作又有生成动作——如何定性，监管者自己也没想清楚。

平台方的技术架构选择同样关键。如果对话系统被设计成优先调用授权图库（getty Images、AP图片库等），而非直接启动生成器，用户拿到真实照片的概率会大幅上升。但这意味着更高的授权成本、更慢的响应速度、更受限的创作自由。商业上，"生成"比"检索"更便宜、更灵活、更"智能"，平台没有动力自我约束。

研究者提出的方案包括：强制来源标注（不仅标"AI生成"，还要标"无对应真实照片"）、生成前检索拦截（先搜图库，有匹配则优先返回真实图像）、以及更激进的"名人数字肖像权"立法——让公众人物对其面部数据的商业使用拥有否决权。

但这些方案各有代价。来源标注依赖用户愿意读小字；检索拦截可能降低"创意性"使用场景的体验；肖像权立法则涉及表达自由与商业利益的复杂平衡。没有一方是 clean fix（干净解法）。

当"像真的"成为新的真实

回到那个反直觉的发现：AI生成的平均脸，比真实照片更值得信赖。这不是技术bug，而是人类认知bug被技术放大了。我们进化出的"可信度判断"基于对称性、光滑度、熟悉度——而这些恰好是生成模型的优化目标。

2025年的47起攻击只是个开始。随着多模态模型普及，"生成式检索"会渗透到新闻、电商、社交的每个角落。用户索要一张产品图、一张新闻现场、一张人物肖像，得到的都可能是"从未发生过的真实"。

一个值得追问的细节是：当平台在生成结果页底部添加"AI生成"小字时，有多少用户会注意到？又有多少会理解，这意味着他们看到的不是"处理过的照片"，而是"从未存在过的面孔"？