撰文:黄世亮
我读到一条X.com帖子,讲robinhood在uniswap上的股票代币化的项目出现跑路,声称能将持有代币的地址的余额给抹除掉,我怀疑这个能抹除余额的真实性,所以请chatgpt出来调研。
chatgpt给了类似的判断,声称这种抹除余额的描述不太可能。
真正让我惊讶的是chatgpt的推理过程,因为我想搞明白chatgpt是如何给出判断的,所以我读了它的思维链。
我看它的思维链里有几个步骤是将一个以太坊地址「输入」区块浏览器,然后查看这个地址的历史交易。
请特别注意我标了双引号的「输入」,这是一个动词,是chatgpt在区块浏览器上执行了一个操作,这是一个令我很惊讶的事,因为这不符合半年前我对chatgpt的安全性的调研结果。
在半年前,使用chatgpto1pro模型下,我曾经用它来调研过以太坊早期获利盘的分布。我明确给chatgpto1pro发出通过区块浏览来查询创世块地址,现在还有多少没有转出的,但chatgpt明确告诉我,它无法执行这样的操作,因为这是安全性设计。
Chatgpt能够读页面,但无法对网页执行UI操作,如点击、滑动、输入等动作,就是我们人可以对一个网页上的UI功能进行操作,比如taobao.com,我们人可以执行登录操作,可以搜索特定的商品,但chatgpt是明确禁止模拟UI事件的。
这是我半年前调研的结果。
我当时为什么要调研这个呢?因为当时claude这家公司搞出来一个可以接管用户电脑的智能体(agent),Anthropic宣布为Claude3.5Sonnet推出实验功能「Computeruse(beta)」,Claude可以像真人一样读取屏幕、移动光标、点击按钮与输入文字,完成网页检索、表单填写、下单点餐等整套桌面操作。
这就挺吓人啊,我想到以下场景:如果claude哪天直接发疯,直接进入我的笔记软件读取我所有的工作生活日志,挖出我哪天为了图方便明文记录的私钥,这可怎么办。
那一次调研后,我决定买一台全新的电脑,用来运行AI软件,在我管crypto的电脑,不再运行AI软件。因此,我又多了一台windows电脑和一台安卓手机,烦死了,一堆电脑手机。
现在国产手机终端上的AI已经有类似的权限的,余承东就在前几天还拍了视频宣传华为的小艺可以在手机上帮用户订机票,订酒店等,荣耀手机甚至在几个月前就可以让用户通过命令AI,AI执行在美团下单买咖啡的完整流程。
这样的AI能帮你在美团下单,是不是就可以读你的微信聊天记录?
这有点可怕啊。
因为我们的手机是一个终端,小艺这样的AI还是运行在端侧的小模型,我们还是可以对AI进行权限管理,比如禁止AI读取相册里的照片之类的,我们还可以对特定的app进行加密,比如对notes文档进行加密,想要读取就要密码,这也可以阻止小艺们直接访问。
但像chatgpt和claude这样的云端大模型,如果获得了模拟UI点击、滑动、输入等操作的权限,那麻烦就要大了。因为chatgpt是要随时和云端服务器沟通的,也就是说你屏幕上的信息100%是上云端了,这和小艺这种端侧模型读取的信息只在本地是完全不同的。
端侧小艺们相当于我们把手机给了身边的一位电脑高手,让他帮我们操作这个那个app,但这个高手不能将我们的手机里的信息抄下来带回家,我们也可以随时将手机从这哥们手里拿回来。事实上,这种请人修电脑的事是经常发生的,对吧。
但云端chatpg这样的LLM相当于远程操控我们的的手机和电脑,就相当于有人远程接管了你的电脑和手机,你想想这风险有多大,它们在你手机和电脑里干啥你都不知道。
在看到chatgpt的思维链存在对区块浏览器(arbiscan.io)进行模拟「输入」动作后,我大感震惊,我赶紧继续问chatgpt是如何完成这个动作的,如果chatgpt没有骗我的话,那这一次我是虚惊一场,chatgpt没有获得摸拟UI操作的权限,这一次它能访问arbiscan.io并「输入」一个地址,进行访问这个地址里的交易记录纯属一个hack技巧,不得不惊叹chatgpto3真是牛逼。
Chatgpto3是发现了arbiscan.io生成输入地址搜索历史交易的那个页面url的规律,arbiscan.io查询具体交易或合约地址的URL的规律是这样的(https://arbiscan.io/tx/
哇。
就相当于,我们去查一笔交易的区块浏览器解释的信息时,并不是通过浏览器网页输入这一交易txhash,回车再去看。而是直接构造出这个要查看的页面的URL,然后输入到浏览器直接看。
牛逼不。
所以,chatgpt并没有突破禁止模拟UI操作的限制。
但是,如果我们真的在意电脑和手机安全,真的要小心这些LLM大语言模型对终端的权限。
我们有必要在安全要求高的终端里禁用各种AI。
特别注意「模型运行(端还是云)在哪」比模型本身的聪明程度更决定安全边界——这也是我宁可多配一台隔离设备、也不敢让云端大模型跑在我有私钥的电脑上的根本原因。