生成式AI的“雙刃劍”效應再次引發全球警覺。據日本警方最新通報,日本最大連鎖網咖“快活CLUB”(Kaikatsu Club)今年1月遭大規模數據泄露事件,幕後黑手竟是一名17歲的高中二年級男生。該少年通過繞過ChatGPT的安全限制,利用AI輔助編寫惡意程序,成功竊取約725萬條會員個人信息,包括姓名、住址、電話、會員編號等敏感數據。

 AI成“黑客訓練營”?少年繞過平臺防護編寫攻擊工具

調查顯示,該嫌犯來自大阪關西地區,雖非職業黑客,但自幼自學編程,曾獲信息安全競賽獎項,具備紮實技術基礎。其攻擊手法爲:  

- 向快活CLUB服務器發送僞造API指令,繞過身份驗證機制;  

- 利用自動化腳本批量提取會員數據庫內容;  

- 攻擊導致公司部分系統一度中斷,運營嚴重受損。

關鍵在於,該惡意程序的核心代碼系通過ChatGPT生成。儘管主流AI平臺已部署多重防護,禁止生成惡意軟件,但該少年通過“話術包裝”(如將攻擊代碼描述爲“滲透測試腳本”或“安全研究工具”),成功誘導AI輸出具備實戰能力的攻擊載荷。

 作案動機令人意外:爲買寶可夢卡片盜取信用卡信息

警方透露,該少年最初目標是獲取會員綁定的信用卡信息,用於在線購買寶可夢卡片。被捕後,他辯稱只是“測試網站漏洞”,但警方指出其行爲具有明顯非法目的,且未遵循合法漏洞披露流程,已構成不正當指令電磁記錄罪等刑事犯罪。

 專家警告:AI正大幅降低網絡攻擊門檻

網絡安全專家指出,此案暴露了生成式AI在安全領域的重大隱患:  

- 技術民主化 = 犯罪民主化?過去需數年積累的黑客技能,如今可能通過AI在數小時內復現;  

- 自然語言的靈活性使AI限制機制極易被繞過——只要用戶持續調整提示詞,AI終將“妥協”;  

- 即便平臺加強過濾,“AI+人類微調”模式仍可生成高隱蔽性惡意代碼。

“我們正進入一個‘人人可黑客’的時代,”一位匿名安全研究員表示,“防禦方需從‘堵漏洞’轉向‘預測AI濫用模式’。”

 AIbase觀察:當AI成爲犯罪“共謀”,安全邊界亟待重構

此案並非孤例。2025年以來,全球已報告多起利用AI生成釣魚郵件、勒索軟件甚至深度僞造詐騙工具的案件。監管機構與科技公司面臨兩難:  

- 限制過嚴,將損害AI在安全研究、教育等領域的正當用途;  

- 放任自流,則可能催生新一代“AI賦能型犯罪”。

專家呼籲,平臺應建立AI生成代碼的溯源與審計機制,企業需強化API安全與異常行爲監測,而法律也應明確誘導AI生成惡意內容的法律責任。

當一句“幫我寫個測試腳本”就能觸發725萬人的數據災難,AI的“無害假設”已然崩塌。未來網絡安全,不僅要防人,更要防被濫用的智能。