
深度偽造的財務長在 Zoom 會議上騙走 2,500 萬美元:為什麼下一個可能就是你的公司
我當時正在和一位潛在客戶通話——一家中型製造公司的財務長(CFO)——他說了一句話,讓我當場愣住。
「我們在視訊會議上已經會驗證身分了。我們看得見彼此的臉。」
我問他有沒有聽過 Arup 發生的事。他沒有。於是我告訴他:2024 年 2 月,Arup——打造雪梨歌劇院的那家全球工程顧問公司——的一名財務人員,參加了一場與他的財務長和多位高階主管的視訊會議。他們討論一筆機密交易。財務長指示他匯出款項。他總共進行了 15 筆轉帳,金額合計 2,560 萬美元,分別匯入五個銀行帳戶。那場會議上的每一張臉都是假的。每一個聲音都是合成的。那位財務長是 AI 生成的深度偽造(deepfake)。其他高階主管也一樣。那名員工是會議室裡唯一真實的人類。
電話那頭沉默了大約十秒。然後他說:「這不可能是真的。」
但它就是真的。而這正是我近來重新思考我們在 Veriprajna 所建構的一切的原因——因為 Arup 這起事件暴露的不只是一個資安缺口。它暴露的是一個信任架構問題,而大多數企業甚至還沒開始正視它。
我意識到「眼見為憑」已死的那一夜
我第一次讀到 Arup 事件的鑑識分析,是在某個深夜,我坐在家中的書房,手邊那杯印度香料奶茶在我讀完第二頁之前就涼了。真正震撼我的不是金額——儘管 2,560 萬美元確實驚人。而是這場攻擊的優雅。沒有惡意軟體。沒有憑證竊取。沒有未經授權的資料庫存取。Arup 的數位基礎架構根本從未被攻破。
攻擊者駭進的不是系統。他們駭進的是人。
當財務長的臉孔與聲音可以被完美偽造,傳統的信任訊號就崩壞了。不是被削弱——是崩壞。
他們花了好幾個月,從 YouTube、研討會演講和企業影音檔中抓取 Arup 高階主管的公開影片。他們訓練生成對抗網路(Generative Adversarial Networks)——兩個彼此競爭的神經網路,一個負責生成假內容,另一個試圖偵測它,反覆迭代數百萬次,直到假內容與真實再也無法區分——藉此打造出鑑識專家所稱的「高擬真合成分身」。不只是臉孔。還有說話模式。語調。一個人在回答問題前停頓的方式。
接著,他們以「財務長」的名義寄出一封魚叉式釣魚郵件,請求協助處理一筆機密交易。那名員工起了疑心。直覺不錯。但攻擊者還有第二步棋:他們邀請他加入一場即時視訊會議,會中多張熟悉的面孔當場確認了這項要求。
他的懷疑瓦解了。這當然會發生。當四位同事在螢幕上望著你,哪個理性的人會去質疑自己雙眼所見的證據?
要怎麼深度偽造一整間會議室的人?

這是我的團隊反覆回到的問題。我們見過單人的深度偽造——這裡一段複製的聲音,那裡一支換臉影片。但多人同時參與的即時視訊會議?那感覺像是一次跳躍。
結果證明,技術門檻崩塌的速度,比大多數資安團隊所意識到的還要快。
攻擊者使用的是一種稱為影像注入的技術,而不是較單純的「呈現攻擊」(有人把一個螢幕舉在攝影機前)。注入攻擊利用虛擬攝影機軟體,把合成影像直接饋入視訊會議軟體的資料串流。Zoom、Teams——應用程式會把 AI 生成的畫面當成來自實體網路攝影機。沒有螢幕邊框可供偵測,也沒有深度異常可供標記。研究顯示,針對身分驗證服務商的注入攻擊增加了 255%(2023 年),而換臉攻擊則上升了 704%。
我記得在一場團隊會議上,我們一位工程師用開源工具示範了即時換臉。他大約花了四十分鐘架設。結果並不完美——下顎線附近有輕微閃爍——但在壓縮過的 Zoom 畫面上呢?你根本不會注意到。而那還是在使用免費軟體、沒有任何訓練資料的情況下。Arup 的攻擊者可是準備了好幾個月,而且推測還握有資源。
我們的技術長(CTO)從桌子對面看著我說:「我們得停止把這件事當成資安問題。這是一個知識論問題。人到底要怎麼知道什麼是真的?」
他是對的。而那個體悟,重塑了我對我們所建構的一切的思考方式。
為什麼你的「AI 策略」讓情況更糟?
以下是大多數關於 Arup 事件的報導完全忽略的部分:多數企業採用 AI 的方式,其實反而提高了他們面對這類攻擊的脆弱性。
我說的是「LLM 包裝層」(LLM wrapper)——目前企業 AI 的主流架構。你拿 OpenAI 或 Anthropic 的公開 API,在外面包一層薄薄的軟體,接上幾個業務流程,然後把它稱作你的 AI 策略。部署很快。成本很低。而且對任何真正重要的事情來說,它從根本上就不夠格。
有三個原因。
第一,資料外流。在以包裝層為基礎的部署中,你最敏感的資料——財務試算表、內部備忘錄、高層通訊——會離開企業邊界,交由第三方雲端處理。即使供應商承諾不拿它來訓練,這些資料仍存在於一個外部環境中,受美國 CLOUD Act 管轄、牽涉不透明的次級處理者關係,並可能透過模型被外洩。你正把攻擊者用來打造你高階主管逼真深度偽造所需的那種資訊,送到你的高牆之外。
第二,可靠性落差。LLM 是機率性的。它們依據統計模式預測最可能出現的下一個字,而不是基於對你企業現實的紮實理解。當一個 AI 代理回報價格、核准折扣或解讀政策時,它是在生成一個看似合理的答案——而不是取回一項已驗證的事實。在高風險環境裡,「看似合理」與「真實」之間的那道落差,正是詐欺滋生之處。
第三——而這一點一直縈繞在我心頭——「無實體顧問」問題。對於像 Arup 這樣的工程顧問公司,以文字為基礎的 LLM 包裝層在產出建議時,並沒有任何整合的回饋迴路能驗證物理或生物上的安全性。在結構工程或化學領域,計算中一個微小的改動,可能導致災難性的不同結果。一個依靠語意距離而非物理定律運作的包裝層,無法辨識出這些關鍵偏差。它不知道自己不知道什麼。
我在我們研究的互動版本中深入探討過這項架構弱點——核心論點是:包裝層製造出智慧的假象,同時讓組織在結構上門戶洞開。
什麼才真的能擋下 Arup 這場攻擊?

這是我不斷自問的問題。不是「Arup 當初該怎麼做才對」——那是事後諸葛。而是:什麼樣的架構能讓這類攻擊註定失敗?
答案不是單一技術。而是一整套堆疊。而它的起點,是放棄「視覺確認等同身分驗證」這個念頭。
你偽造不了的心跳
我遇過最迷人的偵測方法之一,是分析所謂「心跳引發」的臉部色澤變化。像 Intel 的 FakeCatcher 這類技術會監測膚色的微幅變化——肉眼看不見——這些變化對應著心血管活動。活人的臉會隨著每一次心跳而細微地變色。深度偽造不會。就算會,時間點也不對。
我第一次聽到這個時,覺得它聽起來像科幻小說。後來我看了一場示範,系統正確地揪出了一支騙過現場每一個人的高品質深度偽造影片。那張合成臉孔有完美的皮膚紋理、完美的唇形同步、完美的眼球運動。但沒有脈搏。
深度偽造可以複製你的臉、你的聲音和你的小動作。它複製不了你的心跳。
你打字的方式就是你的簽名
行為生物特徵是最讓我興奮的一層,因為它幾乎不可能偽造。你的按鍵動態——打字的速度、節奏與力道——會形成一組專屬於你、可被辨識的模式。你的滑鼠移動、在手機上的滑動速度,甚至你在應用程式之間切換的方式,也都是如此。
想像一下,為每一位高階主管建立一組行為基線。在視訊會議進行中,系統持續監測在聊天室裡打字的那位「財務長」是否表現得像真正的財務長。如果打字節奏偏離歷史側寫,而同時又正在提出一項不尋常的財務請求,系統就會自動標記。不需要任何人為判斷。
這就是持續驗證的樣貌——不是登入時的一次性密碼,而是一種持續進行、隱形的驗證,確認和你對話的人就是他所宣稱的那個人。
證明影像為真的密碼學憑證
與其只是設法偵測偽造內容,我們必須開始驗證源頭的真實性。C2PA 標準——內容來源與真實性聯盟(Coalition for Content Provenance and Authenticity)——會在影像擷取的當下嵌入密碼學中繼資料:裝置、時間、地點,以及一條可察覺竄改的保管鏈。如果 Teams 或 Zoom 會議中的某路影像缺少這些憑證,就應該用對待未簽章軟體套件的同等懷疑來看待它。
這是一種心態的轉變。多年來我們一直在問「這是假的嗎?」更好的問題是:「這個能證明自己是真的嗎?」
我們真正在建構的架構

在 Veriprajna,我們一直把我們的做法稱為 Deep AI——不是因為它是個行銷詞彙,而是因為它描述的是組織與其 AI 基礎架構之間一種根本不同的關係。我們不做透過公開 API 的「AI 即服務」,而是在組織自己的安全環境中建構「AI 即基礎架構」。
三大支柱。
第一是基礎架構所有權。我們把完整的推論堆疊——私有企業 LLM——直接部署到客戶的虛擬私有雲(VPC)或地端 Kubernetes 叢集中。敏感資料永遠不會離開邊界。這不只是一項安全措施;它還創造出屬於客戶的客製化模型資產。他們的智慧維持主權自主。
第二是我們所稱的 Private RAG 2.0——與內部安全機制原生整合的檢索增強生成(Retrieval-Augmented Generation)。如果一位員工沒有權限檢視 SharePoint 中的某份文件,AI 就不會取用它來回答他的問題。這聽起來理所當然,但大多數 RAG 實作都把知識庫當成一個扁平的資料池。我們的做法則遵循與組織其餘部分相同的存取控制。
第三——也是我最引以為傲的一項——是神經符號三明治。我們把神經網路(也就是具備創造性語言能力的 LLM)包夾在兩層確定性的符號邏輯之間。底層負責清理輸入,在其抵達模型之前阻擋提示注入。頂層則攔截模型的輸出,並透過嚴格、預先定義好的函式來執行——查詢 SQL 資料庫、檢查 ERP 系統、取得已驗證的價格。當 AI 回報一個數字,它是在調取一項事實,而不是預測出一個數字。
神經符號三明治確保當 AI 回報價格或授權狀態時,它是從資料庫取回一個確定性的數值——而不是根據 token 機率預測出來的。
有人告訴我這是過度設計。「用 GPT 加上好的提示詞就行了,」一位投資人曾這樣對我說,帶著一種從未為任何一筆匯款負過責的人才有的自信。我想起 Arup 那位員工——一位稱職的專業人士,做的每一件事看起來都合情合理——我知道,當風險以百萬計時,「夠好」的提示詞並不夠好。
想了解這套架構的完整技術剖析,包括神經符號設計模式與具 RBAC 意識的檢索機制,請參閱我們的詳細研究報告。
當資訊長必須負起個人責任時,會發生什麼事?
Arup 事件還有一個法律面向,是多數技術人員沒有在追蹤的,而它應該讓每一位正在閱讀這篇文章的資訊長和技術長感到不寒而慄。
在電匯詐欺案件中,法院愈來愈常採用「冒名者規則」(Impostor Rule):損失應由最有能力防止該詐欺的一方承擔。在 Arup 這個案例中,儘管受騙的是那名員工,但該公司未能為高額交易導入多通道驗證,可能會被視為主要的失效點。
資訊長與技術長是負有受託義務的公司高階職員。隨著深度偽造驅動的詐欺成為一項已知且有案可查的風險——而在 Arup 之後,它已是確鑿無疑的已知風險——未能導入具備深度偽造意識的控管措施,可能導致個人責任,如果公司因過失遭到股東提告的話。這並非假設性情境。《加州消費者隱私法》(California Consumer Privacy Act)、《歐盟人工智慧法》(EU AI Act),以及像 NIST 的 AI 風險管理框架(AI Risk Management Framework)這類架構,都正逐漸匯聚到同一個期待上:組織必須針對合成媒體攻擊,建立具體、有文件紀錄的防禦措施。
我開始在每一場會議上問資訊長一個簡單的問題:「如果明天有攻擊者在視訊會議上深度偽造了你們的執行長,而有人匯出了 1,000 萬美元,你能向法院證明你們已經建立了合理的防護措施嗎?」
接下來的沉默,已經說明了一切。
我們不能直接訓練員工辨識深度偽造就好嗎?
常常有人這樣問我,而我理解這種直覺。它是最便宜的解法。只要教大家該注意什麼就好——閃爍的下顎線、怪怪的耳朵、略微不對勁的打光。
問題在於:靠肉眼偵測是一場你早已輸掉的軍備競賽。2023 年的深度偽造中還能察覺的破綻,在 2025 年的深度偽造裡幾乎已經消失。技術進步的速度,比人類感知適應的速度更快。而在一場經過壓縮、打光平庸、頻寬時斷時續的視訊會議上——這正是大多數企業 Zoom 會議的寫照——即使是當前世代的深度偽造,實際上也是看不出來的。
訓練有幫助,但不是以多數人以為的方式。目標不是把員工變成深度偽造偵測器。而是要建立我所稱的被賦權的懷疑文化——獎勵那些勇於質疑可疑要求的人,即使那些要求看起來來自執行長。Arup 那名員工最初的直覺,就是對那封釣魚郵件抱持懷疑。那個直覺是對的。它被一場滿是熟面孔的視訊會議所帶來的社會認同給壓過了。
解方是程序性的,而不是知覺性的。高額交易必須要有帶外驗證:直接撥打一組事先驗證過的電話號碼、透過另一個獨立管道共享的事先約定認證碼,或是由未參與原會議的人進行雙重授權。在金融交易中,視訊會議再也不能是身分認證的黃金標準。就是這樣。
2,500 萬美元的藍圖
有件事我一直放不下,關於 Arup 這個故事通常被講述的方式。它被包裝成一則警世寓言——「你看壞人變得多麼高明。」這沒錯,但並不完整。
更深層的教訓是架構性的。Arup 的數位系統沒有問題。他們的防火牆守住了。他們的加密機制運作正常。這場攻擊之所以成功,是因為這個組織的信任架構——也就是關於身分如何被驗證、決策如何被授權的那一整套假設——並沒有演進到足以應對一個合成媒體既便宜、又逼真、還能即時生成的世界。
我談過的大多數組織都處在同樣的位置。他們在邊界防禦上投入大量資源,卻讓人的那一層——真正授權電匯、核准合約、簽署工程規格的那一層——僅僅倚靠「臉孔和聲音很難偽造」這個假設來保護。
那個假設在 2024 年 2 月的一間香港會議室裡死去了。問題在於,你的組織會在繳出自己那筆 2,500 萬美元的學費之前,還是之後,才更新它的信任架構。
Arup 事件不是一場資安失敗。它是一場信任架構的失敗——而大多數組織的信任架構,自從臉孔還無法被偽造的那個年代以來,就沒有更新過。
在這件事上我不打算含糊其辭。現在就行動的組織——部署主權自主的 AI 基礎架構、導入行為生物特徵、要求影像具備密碼學來源證明,並在每一項高額決策中建立程序性的斷路機制——將定義企業安全的下一個時代。那些選擇等待的,會變成案例研究。
製造一個能騙過你財務團隊的深度偽造,成本正趨近於零。被騙的成本則不然。


