撰文:黄世亮
我读到一条 X.com 帖子,讲 robinhood 在 uniswap 上的股票代币化的项目出现跑路,声称能将持有代币的地址的余额给抹除掉,我怀疑这个能抹除余额的真实性,所以请 chatgpt 出来调研。
chatgpt 给了类似的判断,声称这种抹除余额的描述不太可能。
真正让我惊讶的是 chatgpt 的推理过程,因为我想搞明白 chatgpt 是如何给出判断的,所以我读了它的思维链。
我看它的思维链里有几个步骤是将一个以太坊地址「输入」区块浏览器,然后查看这个地址的历史交易。
请特别注意我标了双引号的「输入」,这是一个动词,是 chatgpt 在区块浏览器上执行了一个操作,这是一个令我很惊讶的事,因为这不符合半年前我对 chatgpt 的安全性的调研结果。
在半年前,使用 chatgpt o1 pro 模型下,我曾经用它来调研过以太坊早期获利盘的分布。我明确给 chatgpt o1 pro 发出通过区块浏览来查询创世块地址,现在还有多少没有转出的,但 chatgpt 明确告诉我,它无法执行这样的操作,因为这是安全性设计。
Chatgpt 能够读页面,但无法对网页执行 UI 操作,如点击、滑动、输入等动作,就是我们人可以对一个网页上的 UI 功能进行操作,比如 taobao.com,我们人可以执行登录操作,可以搜索特定的商品,但 chatgpt 是明确禁止模拟 UI 事件的。
这是我半年前调研的结果。
我当时为什么要调研这个呢?因为当时 claude 这家公司搞出来一个可以接管用户电脑的智能体(agent),Anthropic 宣布为 Claude 3.5 Sonnet 推出实验功能 「Computer use (beta)」,Claude 可以像真人一样读取屏幕、移动光标、点击按钮与输入文字,完成网页检索、表单填写、下单点餐等整套桌面操作。
这就挺吓人啊,我想到以下场景:如果 claude 哪天直接发疯,直接进入我的笔记软件读取我所有的工作生活日志,挖出我哪天为了图方便明文记录的私钥,这可怎么办。
那一次调研后,我决定买一台全新的电脑,用来运行 AI 软件,在我管 crypto 的电脑,不再运行 AI 软件。因此,我又多了一台 windows 电脑和一台安卓手机,烦死了,一堆电脑手机。
现在国产手机终端上的 AI 已经有类似的权限的,余承东就在前几天还拍了视频宣传华为的小艺可以在手机上帮用户订机票,订酒店等,荣耀手机甚至在几个月前就可以让用户通过命令 AI,AI 执行在美团下单买咖啡的完整流程。
这样的 AI 能帮你在美团下单,是不是就可以读你的微信聊天记录?
这有点可怕啊。
因为我们的手机是一个终端,小艺这样的 AI 还是运行在端侧的小模型,我们还是可以对 AI 进行权限管理,比如禁止 AI 读取相册里的照片之类的,我们还可以对特定的 app 进行加密,比如对 notes 文档进行加密,想要读取就要密码,这也可以阻止小艺们直接访问。
但像 chatgpt 和 claude 这样的云端大模型,如果获得了模拟 UI 点击、滑动、输入等操作的权限,那麻烦就要大了。因为 chatgpt 是要随时和云端服务器沟通的,也就是说你屏幕上的信息 100% 是上云端了,这和小艺这种端侧模型读取的信息只在本地是完全不同的。
端侧小艺们相当于我们把手机给了身边的一位电脑高手,让他帮我们操作这个那个 app,但这个高手不能将我们的手机里的信息抄下来带回家,我们也可以随时将手机从这哥们手里拿回来。事实上,这种请人修电脑的事是经常发生的,对吧。
但云端 chatpg 这样的 LLM 相当于远程操控我们的的手机和电脑,就相当于有人远程接管了你的电脑和手机,你想想这风险有多大,它们在你手机和电脑里干啥你都不知道。
在看到 chatgpt 的思维链存在对区块浏览器(arbiscan.io)进行模拟「输入」动作后,我大感震惊,我赶紧继续问 chatgpt 是如何完成这个动作的,如果 chatgpt 没有骗我的话,那这一次我是虚惊一场,chatgpt 没有获得摸拟 UI 操作的权限,这一次它能访问 arbiscan.io 并「输入」一个地址,进行访问这个地址里的交易记录纯属一个 hack 技巧,不得不惊叹 chatgpt o3 真是牛逼。
Chatgpt o3 是发现了 arbiscan.io 生成输入地址搜索历史交易的那个页面 url 的规律,arbiscan.io 查询具体交易或合约地址的 URL 的规律是这样的( https://arbiscan.io/tx/hash>或 /address/addr>),而 chatgpt o3 模型在理解这一规律后,它拿到一个合约地址后就直接拼接到 arbiscan.io/address,然后就可以打开这一页,它就可以直接读取该页的信息。
哇。
就相当于,我们去查一笔交易的区块浏览器解释的信息时,并不是通过浏览器网页输入这一交易 txhash,回车再去看。而是直接构造出这个要查看的页面的 URL,然后输入到浏览器直接看。
牛逼不。
所以,chatgpt 并没有突破禁止模拟 UI 操作的限制。
但是,如果我们真的在意电脑和手机安全,真的要小心这些 LLM 大语言模型对终端的权限。
我们有必要在安全要求高的终端里禁用各种 AI。
特别注意「模型运行(端还是云)在哪」 比模型本身的聪明程度更决定安全边界——这也是我宁可多配一台隔离设备、也不敢让云端大模型跑在我有私钥的电脑上的根本原因。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
