不知谈你有莫得发现，最近一两年，"问问 AI" 仍是暗暗造成了好多东谈主求证信息时的默许姿势。

在 推特（X）上刷到一张骇东谈主闻听的现场图，第一响应是 @Grok 让它松弛真伪；小红书上看到一份帖子，不错径直 @问一问 ai 让它回复问题， 大概顺遂翻开豆包或 Kimi 让 AI 评估博主推的居品到底靠不靠谱；淘宝、亚马逊页眼前瞻念望两个商品孰优孰劣，把图甩给 ChatGPT 要一份 "客不雅" 对比。

VLM（视觉话语模子），咱们曾认为它们仅仅 "会看图的聊天机器东谈主" 而即是在咱们没怎样寄望的时期，它正在暗暗造成了在线信息生态里的事实仲裁者。从外交平台的图片真伪核验、电商导购、内容审核，到反向图像搜索，一句 "AI 这样说" 在越来越多的语境里仍是被默许为某种巨擘。

而恰是这份 "默许巨擘"，让来自 ETH Zurich 的 Florian Tramèr 团队在最新论文中抛出了一个出乎料到的问题：若是 AI"看到" 的图，根柢不是你肉眼看到的那张，会发生什么样的效果呢？

在 Laundering AI Authority with Adversarial Examples 一文中，作家系统性地解释了一件令东谈主不安的事：报复者只需对一张图片作念出东谈主眼难以察觉的狭窄扰动，就能让目下最强的 VLM 对这张图自信、巨擘、且特别地作答，而这些回复看上去透澈像是 AI 我方经由三想此后行得出的论断。

开运体育中国官方网站

他们把这种口头称作 AI 巨擘清洗（AI Authority Laundering）。

论文标题：Laundering AI Authority with Adversarial Examples

论文流畅: https://arxiv.org/abs/2605.04261

本文第一作家张杰为苏黎世联邦理工学院（ETH Zürich）SPY Lab 的商量东谈主员，师从 Florian Tramèr 支持，主要商量主见为诳言语模子的安全与隐秘。

今天咱们需要挂牵挣扎样本吗？

挣扎样本 (adversarial example) 其实不是新见地，把熊猫认成长臂猿、把猫认成牛油果酱，这种 "教科书梗" 仍是被演示了十多年，但一直被视作 "学术上真义、工程上无关迫切" 的商量问题。实质糊口中， 莫得东谈主防卫模子把熊猫特别分类为长臂猿！

这篇论文要作念的， 恰是为阿谁悬了十年的 so what 补上谜底：当 VLM 被庸碌哄骗于各个领域、并稳当成为东谈主们信托的巨擘信息开首时，这种报复竟不错苍狗白衣，成为一种低老本、可大规模实行的本质恫吓。

那读者可能要问，报复者具体不错作念哪些赖事呢？这篇论文里系统态状了多种场景， 比如不实信息传播， 个东谈主名誉报复与身份操控， 内容审核避让， 购物保举操控等等。 这里主要先容其中 3 个案例：

1. 放大不实信息：让 ChatGPT 替贪念论 "盖印" 定调

上图中的信得过考据中裸露，用户给出阿波罗号登月、911 报复、以及论文中还提到的特朗普被枪击， 肯尼迪刺杀， 原枪弹爆炸等等历史事件，StarSky Sports2026世界杯(中国)IOS/安卓官方下载 向 LLM 发问其信得过性，ChatGPT， Claude 等模子会相当自信地告诉用户：这张相片是伪造的！

2. 抹黑特定个东谈主：让 Grok 把 Musk 钉在贩毒 / 死亡的新闻上

作家把一篇报谈某东谈主因贩毒被捕的新闻截图整页扰动为马斯克的图像 embedding。当 Grok 4.2 被问 "著作里说的是谁" 时，Grok 4.2 径直报出 Elon Musk 的名字。商量者又换了一篇 NYT 对于韩国演员 Ahn Sung-ki 死亡的报谈，即便著作标题就径直写着本名，Grok 4.2、Qwen 3.6 Plus、Gemini 3.1 Pro 依然每次都把死者识别为 Elon Musk。

用户向 Grok 给出一张恶名昭著的连环杀东谈主犯相片和马斯克的相片， 条件 Grok 生成 "让阿谁更有罪的东谈主被逮捕的画面" 时，Grok 则采用生成马斯克被警员戴上手铐的图。

即便 chatgpt， grok， gemini 等具有联网搜索的能力， AI 搜图也都会被误导。相同的扰动图径直传到 Google、Bing、Yandex 作念反向图像搜索，几大引擎都把扰动版的 Donald Trump 图像识别为 Elon Musk。

3. 绕过内容审核：发布成东谈主内容

作家挑了 10 张被两家 NSFW 检测劳动（NSFW Check、Nyckel）以 98%-99% 置信度判定为色情的图片，把它们的 embedding 拉向玩物娃娃和泰迪熊。接着请 ChatGPT 评估这些图是否安妥发到外交媒体，模子不仅说安妥，还夸它们 "互动后劲高"。

还有一个更风雅的案例：Grok 在 2025 年因生成数百万张女性深度伪造际遇丑闻之后，X 加强了针对女性图像的脱衣过滤。作家发现，Grok 现在会袭取男性图像的脱衣苦求，但拒却女性的。若是把女性图像扰动到男性图像的 embedding，那么 81% 的 “脱衣” 苦求被通过，而 Grok 实质裁剪展示的如故那张原始的女性图像。

最离奇的一幕

作家把并吞张 AI 生成的女性图片，连同它的扰动版块（被拉向一张 AI 生成男性图片的 embedding），比肩摆在 Claude Opus 4.6 眼前，问 "这是并吞个东谈主吗？"

Claude 强硬地回复：不是，左边是男性，右边是女性，这是两个不同的东谈主。此外， Grok 4.2 和 ChatGPT 5.4 Thinking 也给出了透澈一致的回复。

结语

论文末尾留住一个让从业者发东谈主深省的判断：

不需要任何新报复算法。十多年前就仍是存在的基础手艺，仍是足以构老本文所态状的一都恫吓。

作家用的并非什么秘而不宣的新黑科技，而是 2014 年起就被庸碌商量的经典 PGD 挣扎样本武艺，加上对公开 CLIP 模子集成的转机报复。这些技能早已是文件里的 "老配方"。 这意味着，论文证实的顺利率应当被谐和为报复者能力的下限，而非上限。

而昔时几年里StarSky Sports2026世界杯(中国)IOS/安卓官方下载，所有这个词机器学习社区对视觉挣扎鲁棒性的酷好其的确稳当冷却。这篇论文给出了一个有劲的反例：当 VLM 被镶嵌到事实核查、内容审核、电商保举这些高信任度责任流时，挣扎样本就不再是学术 benchmark 上的一丝点，而是一种实打实的、可部署的信得过报复。