loading...
近日,我读到一条X.com帖子,称robinhood在uniswap上的股票代币化项目被曝跑路,并声称能够将持有代币地址的余额抹除。出于对该事件真实性的怀疑,我决定通过chatgpt进行调研。
chatgpt给出了类似的判断,认为这种抹除余额的描述不太可能实现。然而,真正让我惊讶的是chatgpt的推理过程——它在区块浏览器上“输入”了一个以太坊地址,查看了该地址的历史交易记录。
这里的“输入”并非真正模拟了UI操作,而是chatgpt通过发现arbiscan.io页面URL生成规律(如https://arbiscan.io/tx/<hash>或/address/<addr>),直接拼接地址后访问页面并读取信息。这一技巧令人惊叹,但也引发了我对AI权限边界的深入思考。
半年前,我曾使用chatgpt o1 pro模型调研过类似功能。当时,我尝试让其通过区块浏览器查询创世块地址未转出余额,但chatgpt明确拒绝,理由是安全性设计限制了对网页执行UI操作的能力。例如,taobao.com上用户可以登录、搜索商品,但chatgpt无法模拟点击、滑动或输入等动作。
然而,近期一些国产手机终端上的AI助手(如华为的小艺)已经具备了类似权限,能够帮助用户完成订票、下单等复杂任务。这不禁让人担忧:如果AI能帮你下单咖啡,是否也能读取你的微信聊天记录?
对于运行在本地的端侧小模型,我们尚可通过权限管理来阻止其读取敏感信息,例如禁止访问相册或加密特定app。但对于像chatgpt和claude这样的云端大模型,一旦获得模拟UI操作权限,风险将显著增加。这些模型需要随时与云端服务器通信,屏幕上的信息几乎不可避免地会上传至云端。
换句话说,端侧小模型如同请一位电脑高手帮忙操作手机,而云端大模型则相当于有人远程接管了你的设备。两者的安全边界截然不同。
尽管此次chatgpt并未突破禁止模拟UI操作的限制,但它展现出的能力提醒我们,在安全要求高的场景中,必须谨慎对待AI的权限设置。宁可多配备一台隔离设备,也不能让云端大模型运行在存有私钥的电脑上。
最终,我们需要认识到:“模型运行在哪”比“模型有多聪明”更能决定安全边界。
690
665
792
935
172
136
507
707
100
