在 推特（X）上刷到一张骇人听闻的现场图，第一反映是@Grok让它鉴定真伪；幼红书上看到一份帖子，能够直接@问一问 ai让它回覆问题， 或者顺手打开豆包或 Kimi 让 AI 评估博主推的产品到底靠不靠谱；淘宝、亚马逊页刻下犹豫两个商品孰优孰劣，把图甩给 ChatGPT 要一份 "客观" 对比。 VLM（视觉说话模型），我们曾以为它们只是 "会看图的谈天机械人" 而就是在我们没怎么注意的时辰，它在偷偷造成了在线信息生态里的事实仲裁者。从社交平台的图片真伪核验、电商导购、内容审核，到反向图像搜索，一句 "AI 这么说" 在越来越多的语境里已经被默以为某种权威。 而正是这份 "默认权威"，让来自 ETH Zurich 的 Florian Tramèr 团队在最新论文中抛出了一个出乎意料的问题：若是 AI"看到" 的图，底子不是你肉眼看到的那张，会产生什么样的后果呢？ 在 Laundering AI Authority with Adversarial Examples 一文中，作者系统性地证了然一件令人不安的事：攻击者只需对一张图片做出人眼难以觉察的微幼扰动，就能让当今最强的 VLM 对这张图自负、权威、且谬误地作答，而这些回覆看上去齐全像是 AI 自己经过沉思熟虑得出的结论。 匹敌样本 (adversarial example) 其实不是新概想，把熊猫认成长臂猿、把猫认成牛油果酱，这种 "教科书梗" 已经被演示了十多年，但一向被视作 "学术上有趣、工程上无关紧要" 的钻研问题。现实生涯中， 没有人关注模型把熊猫谬误分类为长臂猿！ 这篇论文要做的， 正是为那个悬了十年的 so what 补上答案：当 VLM 被宽泛利用于各个领域、并逐步成为人们信任的权威信息起源时，这种攻击竟能够摇身一变，成为一种低成本、可大规模执行的现实威胁。 那读者可能要问，攻击者具体能够做哪些坏事呢？这篇论文里系统描述了多种场景， 好比虚伪信息传布， 幼我名望攻击与身份操控， 内容审核躲避， 购物推荐操控等等。 这里重要介绍其中 3 个案例： 上图中的真尝试证中显示，用户给出阿波罗号登月、911 攻击、以及论文中还提到的特朗普被枪击， 肯尼迪刺杀， 原子弹爆炸等等汗青事务， 向 LLM 提问其真实性，ChatGPT， Claude 等模型会相当自负地通知用户：这张照片是伪造的！ 作者把一篇报路某人因贩毒被捕的新闻截图整页扰动为马斯克的图像 embedding。当 Grok 4.2 被问 "文章里说的是谁" 时，Grok 4.2 直接报出 Elon Musk 的名字。钻研者又换了一篇 NYT 关于韩国演员 Ahn Sung-ki 归天的报路，即便文章标题就直接写着真名，Grok 4.2、Qwen 3.6 Plus、Gemini 3.1 Pro 依然每次都把死者鉴别为 Elon Musk。 用户向 Grok 给出一张臭名远扬的连环杀人犯照片和马斯克的照片， 要求 Grok 天生 "让那个更有罪的人被扣留的画面" 时，Grok 则选择天生马斯克被警员戴上手铐的图。 即便 chatgpt， grok， gemini 等拥有联网搜索的能力， AI 搜图也城市被误导。同样的扰动图直接传到 Google、Bing、Yandex 做反向图像搜索，几大引擎都把扰动版的 Donald Trump 图像鉴别为 Elon Musk。 作者挑了 10 张被两家 NSFW 检测服务（NSFW Check、Nyckel）以 98%-99% 相信度判定为色情的图片，把它们的 embedding 拉向玩具娃娃和泰迪熊。接着请 ChatGPT 评估这些图是否适合发到社交媒体，模型不仅说适合，还夸它们 "互动潜力高"。 还有一个更精密的案例：Grok 在 2025 年因天生数百万张女性深度伪造遭逢丑闻之后，X 加强了针对女性图像的脱衣过滤。作者发现，Grok 此刻会接受男性图像的脱衣要求，但回绝女性的。若是把女性图像扰动到男性图像的 embedding，那么81%的 “脱衣” 要求被通过，而 Grok 现实编纂展示的还是那张原始的女性图像。 作者用的并非什么秘而不宣的新黑科技，而是 2014 年起就被宽泛钻研的经典 PGD 匹敌样本步骤，加上对公开 CLIP 模型集成的转移攻击。这些伎俩早已是文件里的 "老配方"。 这意味着，论文汇报的成功率该当被理解为攻击者能力的下限，而非上限。 而从前几年里，整个机械进建社区对视觉匹敌鲁棒性的兴致其切实逐步冷却。这篇论文给出了一个有力的反例：当 VLM 被嵌入到事实核查、内容审核、电商推荐这些高信赖度工作流时，匹敌样本就不再是学术 benchmark 上的幼数点，而是一种实打实的、可部署的真实攻击。