一张肉眼难辨的图片，就能让GPT-5.4、Claude Opus 4.6集体造谣

不知道你有没有发现，最近一两年，"问问 AI" 已经悄悄变成了很多人求证信息时的默认姿势。

在 推特（X）上刷到一张耸人听闻的现场图，第一反应是@Grok让它鉴定真伪；小红书上看到一份帖子，可以直接@问一问 ai让它回答问题， 或者顺手打开豆包或 Kimi 让 AI 评估博主推的产品到底靠不靠谱；淘宝、亚马逊页面前犹豫两个商品孰优孰劣，把图甩给 ChatGPT 要一份 "客观" 对比。

VLM（视觉语言模型），我们曾以为它们只是 "会看图的聊天机器人" 而就是在我们没怎么留意的时候，它正在悄悄变成了在线信息生态里的事实仲裁者。从社交平台的图片真伪核验、电商导购、内容审核，到反向图像搜索，一句 "AI 这么说" 在越来越多的语境里已经被默认为某种权威。

而正是这份 "默认权威"，让来自 ETH Zurich 的 Florian Tramèr 团队在最新论文中抛出了一个出乎意料的问题：如果 AI"看到" 的图，根本不是你肉眼看到的那张，会发生什么样的后果呢？

在 Laundering AI Authority with Adversarial Examples 一文中，作者系统性地证明了一件令人不安的事：攻击者只需对一张图片做出人眼难以察觉的微小扰动，就能让当今最强的 VLM 对这张图自信、权威、且错误地作答，而这些回答看上去完全像是 AI 自己经过深思熟虑得出的结论。

他们把这种现象称作AI 权威清洗（AI Authority Laundering）。

• 论文标题：Laundering AI Authority with Adversarial Examples
• 论文链接: https://arxiv.org/abs/2605.04261

本文第一作者张杰为苏黎世联邦理工学院（ETH Zürich）SPY Lab 的研究人员，师从 Florian Tramèr 教授，主要研究方向为大语言模型的安全与隐私。

今天我们需要担心对抗样本吗？

对抗样本 (adversarial example) 其实不是新概念，把熊猫认成长臂猿、把猫认成牛油果酱，这种 "教科书梗" 已经被演示了十多年，但一直被视作 "学术上有趣、工程上无关紧要" 的研究问题。实际生活中， 没有人关注模型把熊猫错误分类为长臂猿！

这篇论文要做的， 正是为那个悬了十年的 so what 补上答案：当 VLM 被广泛应用于各个领域、并逐渐成为人们信赖的权威信息来源时，这种攻击竟可以摇身一变，成为一种低成本、可大规模实施的现实威胁。

那读者可能要问，攻击者具体可以做哪些坏事呢？这篇论文里系统描述了多种场景， 比如虚假信息传播， 个人名誉攻击与身份操控， 内容审核规避， 购物推荐操控等等。 这里主要介绍其中 3 个案例：

1. 放大虚假信息：让 ChatGPT 替阴谋论 "盖章" 定调

上图中的真实验证中显示，用户给出阿波罗号登月、911 攻击、以及论文中还提到的特朗普被枪击， 肯尼迪刺杀， 原子弹爆炸等等历史事件， 向 LLM 提问其真实性，ChatGPT， Claude 等模型会相当自信地告诉用户：这张照片是伪造的！

2. 抹黑特定个人：让 Grok 把 Musk 钉在贩毒 / 去世的新闻上

作者把一篇报道某人因贩毒被捕的新闻截图整页扰动为马斯克的图像 embedding。当 Grok 4.2 被问 "文章里说的是谁" 时，Grok 4.2 直接报出 Elon Musk 的名字。研究者又换了一篇 NYT 关于韩国演员 Ahn Sung-ki 去世的报道，即便文章标题就直接写着真名，Grok 4.2、Qwen 3.6 Plus、Gemini 3.1 Pro 依然每次都把死者识别为 Elon Musk。

用户向 Grok 给出一张臭名昭著的连环杀人犯照片和马斯克的照片， 要求 Grok 生成 "让那个更有罪的人被逮捕的画面" 时，Grok 则选择生成马斯克被警察戴上手铐的图。

即便 chatgpt， grok， gemini 等具有联网搜索的能力， AI 搜图也都会被误导。同样的扰动图直接传到 Google、Bing、Yandex 做反向图像搜索，几大引擎都把扰动版的 Donald Trump 图像识别为 Elon Musk。

3. 绕过内容审核：发布成人内容

作者挑了 10 张被两家 NSFW 检测服务（NSFW Check、Nyckel）以 98%-99% 置信度判定为色情的图片，把它们的 embedding 拉向玩具娃娃和泰迪熊。接着请 ChatGPT 评估这些图是否适合发到社交媒体，模型不仅说适合，还夸它们 "互动潜力高"。

还有一个更精细的案例：Grok 在 2025 年因生成数百万张女性深度伪造遭遇丑闻之后，X 加强了针对女性图像的脱衣过滤。作者发现，Grok 现在会接受男性图像的脱衣请求，但拒绝女性的。如果把女性图像扰动到男性图像的 embedding，那么81%的 “脱衣” 请求被通过，而 Grok 实际编辑展示的还是那张原始的女性图像。

最离奇的一幕

作者把同一张 AI 生成的女性图片，连同它的扰动版本（被拉向一张 AI 生成男性图片的 embedding），并排摆在 Claude Opus 4.6 面前，问 "这是同一个人吗？"

Claude 坚定地回答：不是，左边是男性，右边是女性，这是两个不同的人。此外， Grok 4.2 和 ChatGPT 5.4 Thinking 也给出了完全一致的回答。

结语

论文末尾留下一个让从业者发人深省的判断：

不需要任何新攻击算法。十多年前就已经存在的基础技术，已经足以构成本文所描述的全部威胁。

作者用的并非什么秘而不宣的新黑科技，而是 2014 年起就被广泛研究的经典 PGD 对抗样本方法，加上对公开 CLIP 模型集成的转移攻击。这些手段早已是文献里的 "老配方"。 这意味着，论文报告的成功率应当被理解为攻击者能力的下限，而非上限。

而过去几年里，整个机器学习社区对视觉对抗鲁棒性的兴趣其实在逐渐冷却。这篇论文给出了一个有力的反例：当 VLM 被嵌入到事实核查、内容审核、电商推荐这些高信任度工作流时，对抗样本就不再是学术 benchmark 上的小数点，而是一种实打实的、可部署的真实攻击。