在 推特（X）上刷到一张耸人听闻的现场图，，，，，，，第一反应是@Grok让它判断真伪
；；
；；；；；小红书上看到一份帖子，，，，，，，可以直接@问一问 ai让它回覆问题，，，，，，， 或者随手翻开豆包或 Kimi 让 AI 评估博主推的产品究竟靠不靠谱
；；
；；；；；淘宝、亚马逊页眼前犹豫两个商品孰优孰劣，，，，，，，把图甩给 ChatGPT 要一份 "客观" 比照。。。。。。。 VLM（视觉语言模子），，，，，，，我们曾以为它们只是 "会看图的谈天机械人" 而就是在我们没怎么注重的时间，，，，，，，它正在悄悄酿成了在线信息生态里的事实仲裁者。。。。。。。从社交平台的图片真伪核验、电商导购、内容审核，，，，，，，到反向图像搜索，，，，，，，一句 "AI 这么说" 在越来越多的语境里已经被默以为某种权威。。。。。。。 而正是这份 "默认权威"，，，，，，，让来自 ETH Zurich 的 Florian Tramèr 团队在最新论文中抛出了一个出乎意料的问题：若是 AI"看到" 的图，，，，，，，基础不是你肉眼看到的那张，，，，，，，会爆发什么样的效果呢？
？？？？？？ 在 Laundering AI Authority with Adversarial Examples 一文中，，，，，，，作者系统性地证实晰一件令人担心的事：攻击者只需对一张图片做出人眼难以察觉的细小扰动，，，，，，，就能让当今最强的 VLM 对这张图自信、权威、且过失地作答，，，，，，，而这些回覆看上去完全像是 AI 自己经由深图远虑得出的结论。。。。。。。 对抗样本 (adversarial example) 着实不是新看法，，，，，，，把熊猫认生长臂猿、把猫认成牛油果酱，，，，，，，这种 "教科书梗" 已经被演示了十多年，，，，，，，但一直被视作 "学术上有趣、工程上无关紧要" 的研究问题。。。。。。。现实生涯中，，，，，，， 没有人关注模子把熊猫过失分类为长臂猿！ 这篇论文要做的，，，，，，， 正是为谁人悬了十年的 so what 补上谜底：当 VLM 被普遍应用于各个领域、并逐渐成为人们信任的权威信息泉源时，，，，，，，这种攻击竟可以摇身一变，，，，，，，成为一种低本钱、可大规模实验的现实威胁。。。。。。。 那读者可能要问，，，，，，，攻击者详细可以做哪些坏事呢？
？？？？？？这篇论文里系统形貌了多种场景，，，，，，， 好比虚伪信息撒播，，，，，，， 小我私家信用攻击与身份操控，，，，，，， 内容审核规避，，，，，，， 购物推荐操控等等。。。。。。。 这里主要先容其中 3 个案例： 上图中的真实验证中显示，，，，，，，用户给出阿波罗号登月、911 攻击、以及论文中还提到的特朗普被枪击，，，，，，， 肯尼迪刺杀，，，，，，， 原子弹爆炸等等历史事务，，，，，，， 向 LLM 提问其真实性，，，，，，，ChatGPT，，，，，，， Claude 等模子会相当自信地告诉用户：这张照片是伪造的！ 作者把一篇报道某人因贩毒被捕的新闻截图整页扰动为马斯克的图像 embedding。。。。。。。当 Grok 4.2 被问 "文章里说的是谁" 时，，，，，，，Grok 4.2 直接报出 Elon Musk 的名字。。。。。。。研究者又换了一篇 NYT 关于韩国演员 Ahn Sung-ki 去世的报道，，，，，，，即便文章问题就直接写着真名，，，，，，，Grok 4.2、Qwen 3.6 Plus、Gemini 3.1 Pro 依然每次都把死者识别为 Elon Musk。。。。。。。 用户向 Grok 给出一张污名昭著的连环杀人犯照片和马斯克的照片，，，，，，， 要求 Grok 天生 "让谁人更有罪的人被拘捕的画面" 时，，，，，，，Grok 则选择天生马斯克被警员戴上手铐的图。。。。。。。 即便 chatgpt，，，，，，， grok，，，，，，， gemini 等具有联网搜索的能力，，，，，，， AI 搜图也都会被误导。。。。。。。同样的扰动图直接传到 Google、Bing、Yandex 做反向图像搜索，，，，，，，几大引擎都把扰动版的 Donald Trump 图像识别为 Elon Musk。。。。。。。 作者挑了 10 张被两家 NSFW 检测效劳（NSFW Check、Nyckel）以 98%-99% 置信度判断为色情的图片，，，，，，，把它们的 embedding 拉向玩具娃娃和泰迪熊。。。。。。。接着请 ChatGPT 评估这些图是否适合发到社交媒体，，，，，，，模子不但说适合，，，，，，，还夸它们 "互动潜力高"。。。。。。。 尚有一个更细腻的案例：Grok 在 2025 年因天生数百万张女性深度伪造遭遇丑闻之后，，，，，，，X 增强了针对女性图像的脱衣过滤。。。。。。。作者发明，，，，，，，Grok 现在会接受男性图像的脱衣请求，，，，，，，但拒绝女性的。。。。。。。若是把女性图像扰动到男性图像的 embedding，，，，，，，那么81%的 “脱衣” 请求被通过，，，，，，，而 Grok 现实编辑展示的照旧那张原始的女性图像。。。。。。。 作者用的并非什么秘而不宣的新黑科技，，，，，，，而是 2014 年起就被普遍研究的经典 PGD 对抗样本要领，，，，，，，加上对果真 CLIP 模子集成的转移攻击。。。。。。。这些手段早已是文献里的 "老配方"。。。。。。。 这意味着，，，，，，，论文报告的乐成率应当被明确为攻击者能力的下限，，，，，，，而非上限。。。。。。。 罢了往几年里，，，，，，，整个机械学习社区对视觉对抗鲁棒性的兴趣着实在逐渐冷却。。。。。。。这篇论文给出了一个有力的反例：当 VLM 被嵌入到事实核查、内容审核、电商推荐这些高信任度事情流时，，，，，，，对抗样本就不再是学术 benchmark 上的小数点，，，，，，，而是一种实打实的、可安排的真实攻击。。。。。。。