当黑客盯上AI时，危险可能刚刚开始。

马修·范·安德尔是在去年7月11日中午收到消息之前。（Matthew Van Andel）生活总是很有规律，很稳定。他在一家著名的跨国媒体集团工作，担任建筑经理。

聊天论坛Discord中出现的信息打破了他的平静。对面的陌生人对她了解很深，甚至知道前几天和同事一起吃午饭的细节。

安德尔的大脑瞬间开始快速运转，他甚至环顾四周，确定是否有陌生人盯着自己。安德尔开始在对方的指示下，通过电子邮件与对方沟通。

对方并不晦涩，告诉安德尔，所有这些消息都是从一个叫Slack的社交软件中获得的。这个软件就像中国的飞书或者钉钉，主要用于工作中的交流。安德尔刚刚想起，他曾经在Slack的一个私人团体里聊过那天的午餐，但是除了参与团体的成员，其他人都不可能知道这些内容。

这个名叫“Nullbulge“陌生人对安德尔提出了非常过分的要求，威胁说如果他不这样做，他会继续披露他的信息。虽然安德尔没有向媒体透露对方勒索的具体内容，但显然他没有满足对方的要求。因此，安德尔的噩梦很快就开始了。

他和孩子玩游戏的平台被劫持，他的在线社交媒体账号被攻击性语言覆盖，电子邮件里收到了很多垃圾短信。他的信息也被“打开”了，家庭信息和工作信息都在网上公开，他还时不时收到匿名电话和信息。

那几天，安德尔基本上没有睡觉或吃饭，一直沉浸在恐慌中。他第一时间报警，开始思考为什么他的密码会被泄露。

安德尔不是电脑小白，也非常懂得保护自己的隐私。在一款名为“1Password”的手机中，他会将自己的帐户密码放在手机上。这个软件是专门存储密码的，它就像一个虚拟的保险箱，个人信息经过加密处理后被放置在其中。客户注册帐户后，网站将提供一份安全密钥文件，其中包含自己的帐户。（Secret Key），登录1Password的任何一台新机器，都需要输入正确的登录名称、主密码和安全密钥。理论上，黑客不可能破解1Password的账户，也不可能破解安德尔的其他账户，除非安德尔自己把安全钥匙交给别人。

然而，安德尔最大的疏忽是，他没有在1Password中打开多重身份验证，即网站会向绑定的计算机或手机发送临时代码，以确认新机器是我持有的。

但是安德尔此刻没有时间去思考更深层次的原因，他的不幸还没有结束。在检查了他的个人电脑后，安德尔的公司觉得有“影响公司声誉”的信息，于是被解雇了。他的健康保险也停止了，很多手机软件也被冻结了。由于密码泄露， 安德尔至少损失了20万美元。

经过专业安全团队的检查，安德尔终于找出了自己为什么如此不幸。所有这些来源，都来自于他几个月前的一次“尝鲜”。

OpenAI公司于2024年2月15日发布了第一家人工智能公司（AI）Sora视频生成模型。此时，AI不仅能处理文本内容，还能生成图像内容。由于工作原因，安德尔也开始尝试将一些新的AI技术应用到自己的个人计算机上。他在著名的代码共享网站上 GitHub 下载了一个免费的软件，该软件根据文本提醒免费建立了一个用于物体翻滚动作的视频。

安德尔不知道木马程序藏在这部手机里。从安装程序的那一刻起，木马程序就一直试图在安德尔的电脑上破解他的密码。它还会读取浏览器工具中的cookie，并使用“添加证据”（Credential Stuffing）探索安德尔隐私的方法。

所谓凭证添加，就是黑客在一个网站上掌握了客户的账号密码后，尝试用同样的账号密码在其他平台登录。对于大多数用户来说，登录名称和密码可能在几十个平台上都有，其中很多都使用相同的内容。因此，当其中一个被破解时，其他平台的账户很有可能被破解。

这是Nullbulge留给安德尔的一句话：“泄露你的信息，就当是对未来人类的警告吧。

即使是埃隆·马斯克，也不仅仅是像安德尔或我们这样的普通人，如此容易受到黑客的攻击，（Elon Musk），还会遭受“开箱”。

23andMe是一家泄露马斯克数据的公司，曾经是美国商业基因检测领域的巨头。黑客也使用了填充凭证的方法。几个月来，他们成功登录了23andMe上约14000名客户的账户，然后通过这些账户中的DNA家庭功能，他们进一步获得了690万用户的数据。

根据泄露的文件，另一个人的数据在马斯克基因结果下的账户下，是他的朋友，谷歌创始人布林。（Sergey Brin），苏珊·沃西奇，布林的妻子（Susan Wojcicki）碰巧是23andMe公司的创始人，所以黑客不难判断马斯克的基因数据。

在AI技术还不成熟的时候，即使黑客通过木马掌握了用户的隐私，大规模匹配或者编写相关代码也是一个很高的门槛。但是在ChatGPT出现之后，AI可以取代许多原本黑客自己想做的事。不久前，日本警方破获了一起案件:三名高中生利用AI提升黑客程序，成功进入日本电信行业乐天行动。（Rakuten Mobile）该系统，窃取超过22万组帐号密码，并借此非法设计了大量eSIM卡。

使用人工智能技术进行变脸或合成语音诈骗并不少见。黑客还使用人工智能生成虚假信息，编造谣言并传播，从而混淆是非，误导公众。事实上，就在安德尔试图使用人工智能软件的同一个月，微软宣布来自俄罗斯和朝鲜 新鲜和伊朗等国家的黑客，使用OpenAI工具来提高他们的战斗能力。

现在安德尔正在努力恢复他平静的生活。他起诉他的老雇主，质疑他的辞退。为了支付日常开支，他找到了一份临时工作。他的家人为他组织了一个名为“Go Fund Me"活动，来筹集资金帮助他摆脱困境。

然而，造成一切不幸的来源的Nullbulge仍然安然无恙，甚至我们仍然不知道它是一个人还是一个组织。它仍然隐藏在互联网时代的一个黑暗角落，随时关注下一个目标...

参考资料：

1.Kwon D. What went wrong at 23andMe？ Why the genetic-data giant risks collapse. Nature. 2025 Feb;638(8049):14-15. doi: 10.1038/d41586-025-00118-y. PMID: 39849134.

2. What tool did Matthew Van Andel downloaded from Github?https://www.reddit.com/r/hacking/comments/1izrsyi/what_tool_did_matthew_van_andel_downloaded_from/

3. 日本三名高中生使用ChatGPT来帮助黑客行动系统，窃取22万组帐秘，成功申请1000多个eSIM卡https://www.techbang.com/posts/121694-three-japanese-high-school-students-used-chatgpt-to-hack-into

4. Man's Entire Life Destroyed After Downloading AI Software. https://futurism.com/the-byte/life-destroyed-ai

5.How hackers ruined a Disney employee’s life after he downloaded AI photo tool. https://www.the-independent.com/news/world/americas/crime/disney-hack-nullbulge-ai-slack-b2705487.html

6.23andMe is in trouble. What happens to all the DNA data?https://www.npr.org/2024/09/25/nx-1-512363/23andme-is-in-trouble-what-happens-to-all-the-dna-data

本文来自微信微信官方账号“把科学带回家”（ID：steamforkids），作者：河边的卡西莫多，审校：刘六七，36氪经授权发布。

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com