一张极具冲击力的新闻编辑风格配图:视频会议的网格画面中,大多数参会者的面孔正在轻微闪烁、逐渐消解为数字伪影,只有一张真实的人脸在旁注视着——传达出 Arup 攻击的核心情境:一个真人置身于一群合成身份之中。
Artificial IntelligenceCybersecurityDeepfakes

一个深度伪造的 CFO 在 Zoom 通话中骗走了 2500 万美元。为什么下一个可能就是你的公司?

Ashutosh SinghalAshutosh Singhal2026年4月24日14 min

我当时正在和一位潜在客户通话——一家中型制造企业的 CFO——他说了一句话,让我瞬间僵住。

“我们在视频通话中本来就会核验身份。我们能看到彼此的脸。”

我问他有没有听说过 Arup 出的事。他没听说过。于是我告诉他:2024 年 2 月,Arup——悉尼歌剧院背后的那家全球工程公司——的一名财务员工加入了一场视频会议,参会的还有他的 CFO 和几位高管。他们讨论了一笔机密交易。CFO 指示他电汇资金。他先后做了 15 笔转账,总额达 2560 万美元,分别汇入五个银行账户。那场通话里的每一张脸都是假的。每一个声音都是合成的。那位 CFO 是 AI 生成的深度伪造(deepfake)。其他几位高管也是。那名员工是这场会议里唯一的真人。

电话那头沉默了大约十秒。然后他说:“这不可能是真的。”

是真的。也正是因为它,我在过去这段时间里重新审视了我们在 Veriprajna 构建的一切——因为 Arup 事件暴露的不只是一个网络安全漏洞。它暴露的是一个信任架构问题——而大多数公司甚至还没有开始正视它。

我意识到“眼见为实”已死的那一夜

我第一次读到 Arup 事件的取证分析是在一个深夜,我坐在家里的书房,那杯印度茶还没等我读完第二页就凉了。真正击中我的不是金额——尽管 2560 万美元已经足够骇人。而是这场攻击的优雅。没有恶意软件。没有凭证窃取。没有未经授权的数据库访问。Arup 的数字基础设施根本就没有被攻破过。

攻击者没有黑掉系统。他们黑掉的是

当 CFO 的面孔和声音可以被完美伪造时,传统的信任信号就被打破了。不是被削弱——是被打破。

他们花了数月时间,从 YouTube、会议演讲和企业录像中抓取 Arup 高管的公开视频。他们训练生成对抗网络(Generative Adversarial Networks)——两个相互竞争的神经网络,一个负责生成伪造内容,另一个试图检测它,经过数百万次迭代,直到伪造品与真实无法区分——从而制造出取证专家所称的“高保真合成孪生体”。不只是面孔。还有说话方式。语调。一个人在回答问题前停顿的方式。

接着,他们以“CFO”的名义发出一封鱼叉式网络钓鱼邮件,请求协助处理一笔机密交易。这名员工起了疑心。直觉不错。但攻击者还有第二步棋:他们邀请他参加一场实时视频通话,会上多张熟悉的面孔实时确认了这项请求。

他的怀疑烟消云散。这再正常不过。当四位同事在屏幕上望着你时,哪个理性的人会怀疑自己亲眼所见的证据?

如何把整间会议室的人都深度伪造出来?

一张解释视频注入攻击流程的示意图——展示合成视频如何直接送入会议软件的数据流以绕过检测,并与更简单的呈现攻击作对比。

这是我的团队反复回到的问题。我们以前见过单人深度伪造——这里一段克隆的语音,那里一段换脸视频。但一场多人参与的实时视频会议?那感觉像是一次飞跃。

事实证明,技术门槛坍塌的速度比大多数安全团队意识到的要快得多。

攻击者使用的是一种叫做视频注入的技术,而不是更简单的“呈现攻击”(有人把一块屏幕举在摄像头前)。注入攻击借助虚拟摄像头软件,把合成视频直接送入会议软件的数据流。Zoom、Teams——应用会把 AI 生成的画面当作来自物理摄像头的信号。没有可供检测的屏幕边框,也没有可标记的深度异常。研究显示,针对身份验证服务商的注入攻击增长了 255%(2023 年),而换脸攻击上升了 704%

我记得在一次团队会议上,我们的一位工程师用开源工具演示了实时换脸。他花了大约四十分钟做好准备。效果并不完美——下颌线附近有轻微的闪烁——但在压缩过的 Zoom 画面里呢?你根本不会注意到。而那还只是用免费软件、没有任何训练数据的结果。Arup 的攻击者有数月的准备时间,以及想必还很充足的资源。

我的 CTO 隔着桌子看着我说:“我们不能再把它当成网络安全问题了。这是一个认识论问题。任何人怎么才能知道什么是真的?”

他是对的。而这个认识,改变了我看待我们所构建的一切的方式。

为什么你的“AI 战略”会让情况更糟?

以下是关于 Arup 事件的大多数报道完全忽略的一点:大多数公司采用 AI 的方式,实际上增加了这些公司在这类攻击面前的脆弱性。

我说的是“LLM 套壳”(LLM wrapper)——当下企业 AI 的主流架构。你拿来 OpenAI 或 Anthropic 的公有 API,在外面包一层薄薄的软件,接入一些业务流程,然后把它称作你的 AI 战略。部署很快。成本很低。而且对任何重要的事情来说,它都根本不够用。

三个原因。

第一,数据外流。在基于套壳的部署中,你最敏感的数据——财务表格、内部备忘录、高管往来沟通——会离开你的企业边界,交由第三方云端处理。即便服务商承诺不用它训练模型,这些数据仍存在于一个外部环境中,受美国《云法案》(CLOUD Act)管辖,牵涉不透明的次级处理方关系,并可能面临基于模型的数据外泄。你正把攻击者构建以假乱真的高管深度伪造所需要的那类信息,送到你的围墙之外

第二,可靠性鸿沟。LLM 是概率性的。它们基于统计模式预测最可能出现的下一个词,而不是基于对你企业现实的事实性依据。当一个 AI 智能体报出一个价格、批准一笔折扣或解释一项政策时,它是在生成一个看似合理的答案——而不是在检索一个已验证的事实。在高风险环境中,“看似合理”与“真实”之间的这道鸿沟,正是欺诈滋生的地方。

第三——这一点一直让我不安——是“无实体顾问”问题。对于像 Arup 这样的工程公司,基于文本的 LLM 套壳会生成建议,却没有任何集成的反馈回路来验证物理或生物层面的安全性。在结构工程或化学领域,计算中一个微小的改动可能导致灾难性的不同结果。一个依据语义距离而非物理定律运行的套壳,无法识别这些关键偏差。它不知道自己不知道什么。

我曾深入剖析过这个架构性漏洞,详见我们研究的交互版本——核心论点是,套壳制造出一种智能的幻觉,却让组织在结构上门户洞开。

真正能阻止 Arup 攻击的会是什么?

一张防御栈示意图,展示三个互补的检测/验证层——生理检测(心跳分析)、行为生物识别(击键/鼠标模式)和加密溯源(C2PA)——以及它们如何作为一个多层身份验证系统协同工作。

这是我不断问自己的问题。不是“Arup 本该怎么做才对”——那是马后炮。而是:什么样的架构才能让这类攻击失效?

答案不是某一项技术。而是一整套技术栈。而它的起点,是抛弃“视觉确认等于身份验证”这个想法。

你伪造不了的心跳

我遇到过的最引人入胜的检测方法之一,是分析一种被称为“心跳诱发”的面部颜色变化。像英特尔 FakeCatcher 这样的技术会监测肤色中肉眼看不见的微小变化,这些变化对应着心血管活动。一张活人的脸会随着每一次心跳而微妙地改变颜色。深度伪造不会。即便会,时序也是错的。

我第一次了解到这件事时,觉得它听起来像科幻小说。后来我看了一场演示,系统正确识别出了一段骗过在场每一个人的高质量深度伪造。那张合成的脸有着完美的皮肤纹理、完美的口型同步、完美的眼球运动。但没有脉搏。

深度伪造可以复制你的脸、你的声音和你的举止。它复制不了你的心跳。

你打字的方式就是你的签名

行为生物识别是最让我兴奋的一层,因为它几乎无法伪造。你的击键动态——打字的速度、节奏和力度——会形成一种你独有的、可识别的模式。你的鼠标移动、你在手机上的滑动速度,甚至你在应用之间切换的方式,也都是如此。

设想为每一位高管建立一条行为基线。在视频通话过程中,系统持续监测在聊天框里打字的那位“CFO”,其行为是否像真正的 CFO。如果在提出一项异常财务请求的同时,打字节奏偏离了历史画像,系统就会自动标记。无需人工判断。

这就是持续认证的样子——不是登录时的一次性密码,而是一种持续的、无形的验证:验证与你交谈的人确实是他自称的那个人。

证明视频为真的密码学证据

不能只是试图检测伪造——我们需要开始在源头验证真实性。C2PA 标准——内容来源与真实性联盟(Coalition for Content Provenance and Authenticity)——会在视频拍摄的那一刻嵌入加密元数据:设备、时间、位置,以及一条可验证是否被篡改的保管链。如果 Teams 或 Zoom 通话中的视频流缺少这些凭证,就应该像对待一个未签名的软件包那样对它抱以同样的怀疑。

这是一次思维方式的转变。我们花了多年时间在问“这是假的吗?”更好的问题是:“它能证明自己是真的吗?”

我们真正在构建的架构

一张分层架构示意图,展示“神经符号三明治”——确定性的符号逻辑层包裹住神经网络 LLM 的三层结构,并标注了数据流:输入如何被净化,输出如何对照真实数据库进行验证。

在 Veriprajna,我们把自己的方法称为Deep AI——之所以这么叫,不是因为它是个营销术语,而是因为它描述的是组织与其 AI 基础设施之间一种根本不同的关系。我们不通过公有 API 提供“AI 即服务”,而是在组织自己的安全环境内构建“AI 即基础设施”。

三大支柱。

第一是基础设施所有权。我们把完整的推理栈——私有企业 LLM——直接部署到客户的虚拟私有云或本地 Kubernetes 集群中。敏感数据永远不会离开边界。这不只是一项安全措施;它还创造出归客户所有的定制模型资产。他们的智能始终保持主权。

第二是我们所说的Private RAG 2.0——一种与内部安全体系原生集成的检索增强生成(Retrieval-Augmented Generation)。如果某位员工没有权限查看 SharePoint 里的某份文档,AI 就不会检索它来回答他的问题。这听起来是理所当然的,但大多数 RAG 实现都把知识库当作一个扁平的池子。我们的做法则尊重管理组织其他部分的同一套访问控制。

第三——也是我最引以为豪的——是神经符号三明治(Neuro-Symbolic Sandwich)。我们把神经网络(也就是具备创造性语言能力的 LLM)包裹在两层确定性的符号逻辑之间。底层在输入抵达模型之前对其进行净化,以防止提示注入。顶层拦截模型的输出,并通过刚性的、预先定义好的函数来执行它——查询 SQL 数据库、核对 ERP 系统、检索一个已验证的价格。当 AI 报出一个数字时,它是在调取一个事实,而不是在预测一个数字。

神经符号三明治确保:当 AI 报出一个价格或一个授权状态时,它是在从数据库中检索一个确定性的值——而不是基于 token 概率预测出来的值。

有人跟我说这是过度设计。“直接用 GPT,把提示词写好就行了,”一位投资人曾这样对我说,语气里带着那种从未为一笔电汇负过责的人才有的自信。我想起 Arup 那位员工——一个称职的专业人士,做了每一件看起来合理的事——我知道,当赌注以百万计时,“还不错”的提示词是远远不够的。

关于这套架构的完整技术拆解,包括神经符号设计模式和具备 RBAC 感知的检索,请参阅我们的详细研究论文

当 CIO 开始承担个人责任时,会发生什么?

Arup 事件还有一个法律层面,大多数技术人员并没有在关注,而它应该让每一位读到这里的 CIO 和 CTO 感到不寒而栗。

在电汇欺诈中,法院越来越多地采用“冒名顶替规则”(Impostor Rule):损失应由最有能力阻止该欺诈的一方承担。在 Arup 一案中,尽管员工确实受到了欺骗,但该公司未能为高价值交易实施多渠道验证,这可能被视为首要的失败点。

CIO 和 CTO 是负有信义义务的公司高管。随着深度伪造驱动的欺诈成为一种已知且有据可查的风险——而在 Arup 之后,它已被确定无疑地知晓——未能实施具备深度伪造意识的控制措施,可能导致个人责任——一旦公司因疏忽被股东起诉。这并非假设。《加州消费者隐私法案》、《欧盟人工智能法案》,以及像美国国家标准与技术研究院(NIST)《AI 风险管理框架》这样的框架,正共同趋向于同一种期待:组织应当针对合成媒体攻击具备具体的、有据可查的防御措施。

我开始在每一次会议上问 CIO 一个简单的问题:“如果明天有攻击者在视频通话中深度伪造了你们的 CEO,而某个人电汇了 1000 万美元,你能向法庭证明你们已经设置了合理的防护措施吗?”

随之而来的沉默告诉了我一切。

我们就不能培训大家识别深度伪造吗?

人们不停地问我这个问题,我也理解这种直觉。这是最便宜的方案。只要教会所有人该看什么就行——闪烁的下颌线、怪异的耳朵、略微不对劲的光线。

问题在于:靠肉眼检测是一场你已经输掉的军备竞赛。2023 年的深度伪造中可以察觉的那些瑕疵,在 2025 年的深度伪造里基本已经消失。技术进步的速度快过人类感知适应的速度。而在一场画面被压缩、光线平庸、带宽时断时续的视频通话里——这描述的正是大多数企业的 Zoom 会议——即便是当前这一代的深度伪造,也实际上是不可见的。

培训有用,但不是以大多数人以为的方式。目标不是把员工变成深度伪造检测器。而是要打造我所说的被赋权的怀疑文化——奖励那些质疑可疑请求的人,哪怕这些请求看起来来自 CEO。Arup 那名员工最初的直觉就是怀疑那封钓鱼邮件。那个直觉是对的。它被一场有熟悉面孔的视频通话所带来的社会认同压倒了。

解决之道是程序性的,而不是感知性的。高价值交易必须进行带外验证:拨打一个预先核实过的电话号码直接确认、通过另一条独立渠道共享一个事先约定的认证码,或者由未参与原会议的人员进行双重授权。在金融交易的身份认证中,视频会议再也不能作为黄金标准了。没有例外。

2500 万美元蓝图

关于 Arup 这个故事通常被讲述的方式,有一点一直让我耿耿于怀。它被包装成一个警世故事——“看看坏人变得多么老练”。这没错,但并不完整。

更深的教训是架构层面的。Arup 的数字系统没有问题。他们的防火墙守住了。他们的加密奏效了。这场攻击之所以成功,是因为该组织的信任架构——也就是关于身份如何被验证、决策如何被授权的那一整套假设——没有随着一个合成媒体廉价、逼真且实时的世界而演进。

我接触过的大多数组织都处在同样的境地。他们在边界防御上投入巨大,却让“人”这一层——真正授权电汇、批准合同、签署工程规范的那一层——除了“面孔和声音难以伪造”这个假设之外,别无保护。

那个假设在 2024 年 2 月的一间香港会议室里死去了。问题在于,你的组织会在支付自己那笔 2500 万美元学费之前更新信任架构,还是在之后。

Arup 事件不是一次网络安全失败。它是一次信任架构失败——而大多数组织自从面孔还无法被伪造的那个年代以来,就再没有更新过自己的信任架构。

我在这一点上不打算含糊其辞。现在就行动的组织——部署主权 AI 基础设施、实施行为生物识别、要求视频流具备加密溯源,并在每一个高价值决策中内置程序性断路器——将定义企业安全的下一个时代。观望的那些,会成为案例研究。

能骗过你财务团队的深度伪造,其成本正在趋向于零。而被骗的成本不会。

相关研究

同步发布于

满怀信心地构建您的 AI。

与一支在打造新一代企业级 AI 方面拥有深厚经验的团队携手合作。让我们助您设计、构建并部署一套值得信赖的 AI 战略。

Veriprajna 深度科技咨询公司 专注于为医疗健康、金融和监管等领域构建安全攸关的 AI 系统。我们的架构均依据成熟的规范进行验证,并配有完善的合规文档。