特别感谢 Hudson Jameson、OfficerCIA 和 samczsun 提供的宝贵反馈和细致审查。
最近一周,一则令人震惊的新闻在网络上广泛传播:某公司财务人员遭遇诈骗者冒充CFO,通过极其逼真的deepfake视频通话,成功诱骗其转账2500万美元。这起事件再次引发了人们对AI伪造技术安全风险的关注。
在加密领域和其他行业,AI生成的虚假音视频内容(即Deepfakes)正变得越来越普遍。过去几个月里,这类技术已被用于推广各类骗局,甚至包括加密货币项目。
Deepfakes技术正在飞速进步:2020年的伪造视频还显得生硬而容易识别,但近期的作品已经越来越难辨真伪。虽然熟悉我的人可能通过某些语言习惯识别出伪造内容(比如我通常用”LFG”表示”looking for group”而非其他含义),但对于只听过我几次演讲的人来说,这些细微差别可能并不明显。
在与安全专家讨论这起2500万美元诈骗案时,他们一致认为这反映了企业在运营安全多个层面的严重疏漏:按照常规做法,如此大额转账应该需要多重授权。但无论如何,这个案例清楚地表明,在2024年的今天,仅凭音频或视频已经不能作为可靠的身份验证方式。
这自然引出了一个关键问题:在深度伪造时代,什么才是真正安全的验证方式?
加密技术的局限性
安全可靠的身份验证机制对各类场景都至关重要:无论是个人恢复社交恢复或多签钱包,企业审批业务交易,还是个人进行大额资金操作(如创业投资、购房或跨境汇款),甚至在家庭成员紧急情况下的身份确认,都需要建立能够抵御深度伪造的安全验证体系。
在加密社区,常见的解决方案是”通过ENS、人类身份证明或公开PGP密钥关联地址的加密签名来验证”。这个方案看似完美,却忽略了多重签名机制的核心价值。假设你作为多签钱包持有人发起交易,其他签名者只有在确信这是你真实意愿时才会批准。如果签名请求来自黑客或胁迫者,他们理应拒绝。在企业环境中,攻击者可能不仅会伪造最终确认环节,还可能渗透审批流程的早期阶段,甚至通过地址劫持来篡改合法请求。
如果仅凭密钥签名就能获得信任,那么多重签名机制就形同虚设——实际上变成了1-of-1签名系统,只要控制单个密钥就能盗取资金!
这种情况下,传统的安全问题反而展现出了独特价值。
安全问题的实践智慧
想象有人通过陌生账号联系你,声称是你朋友并丢失了所有设备。如何确认对方身份?最直接的方法是询问只有你们两人知道的私密信息。理想的安全问题应该满足以下特征:
- 只有你们知晓
- 对方可能记住
- 无法通过网络搜索获得
- 难以猜测
- 即使黑客入侵过大型数据库也无从得知
最佳的安全问题往往源自共同经历,例如:
- 我们上次见面时在哪家餐厅用餐?你当时点了什么菜?
- 哪位朋友曾开过关于古代政治家的玩笑?具体是哪位历史人物?
- 最近我们一起看的哪部电影是你不喜欢的?
- 上周你建议我联系谁来讨论某项研究合作?
这是我近期实际使用的安全问题示例。问题越独特越好,即使需要对方稍作回忆也是优势——如果对方声称忘记,可以追加其他问题。询问具体细节(如个人好恶、特定玩笑)比笼统信息更安全,因为这些内容不太可能被第三方获取。如果问题存在被猜中的可能,可以通过组合多个问题来提高安全性。
让安全问题变得有趣也很重要——它们可以成为重温美好回忆的方式,甚至成为创造新经历的契机。毕竟,枯燥的安全措施往往难以持久。
构建多层次安全防护
没有任何单一安全措施是完美的,因此最佳实践是组合多种技术:
- 预先约定的密语:当面商定验证密码
- 胁迫信号:约定特定词汇暗示处于胁迫状态
- 多渠道确认:通过Signal、Twitter DM等多平台验证ETH地址
- 防范中间人攻击:利用Signal的安全号码或Telegram的表情验证功能
- 设置延迟机制:对重要操作设置冷静期
安全问题之所以有效,是因为它基于人类天然的记忆优势。多年来我的使用经验证明,这种验证方式既自然又可靠,值得纳入日常安全实践。需要注意的是,个人间安全问题与企业验证机制(如银行的身份核实问题)存在本质区别,应该分别设计。
每个安全场景都有其独特性,关键在于选择最适合的方案。在深度伪造技术日益成熟的时代,我们需要调整策略,认清哪些验证手段已经失效,哪些仍然可靠。通过组合多种安全措施,我们完全可以在新形势下保持安全。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:http://www.chaintt.cn/11852.html
