“AI 蠕虫”和时代裂隙中的刺客

刺客从不絮叨，他们只是抡起大锤，向华丽的宫殿直接猛击。

浅友们好~我是史中，我的日常生活是开撩五湖四海的科技大牛，我会尝试用各种姿势，把他们的无边脑洞和温情故事讲给你听。如果你想和我做朋友，不妨加微信（shizhongmax）。

“AI 蠕虫”和时代裂隙中的刺客

文 | 史中

（一）虫子

1988 年 11 月 3 日，美国加州的 NASA 艾姆斯研究中心迎来一个万里无云的秋日。

端着咖啡的火箭科学家们挠挠蓬乱的头发，准备开始今天的工作。

很快，他们不约而同地抬起头来，面面相觑。

所有人的电脑都在疯狂地转动，但，只是自顾自转动，完全不理会任何人的指令——它们被某种神秘的力量锁死了！

老哥们眼里闪现出一丝恐惧。咱就说。。。如果外星人准备占地球，先拿下 NASA，好像也是合理剧情。。。

很快，更炸裂的消息传来，负责保护国家核武器的劳伦斯利福摩尔国家实验室的电脑也被干蒙了；曼哈顿计划的策源地、第一颗原子弹诞生的洛斯阿拉莫斯国家实验室的电脑同样锁死。

就在同一时刻，轻轻拨转地球，印第安纳州的普渡大学，计算机教授尤金·斯帕福德也端着咖啡愣在原地。

因为电脑屏幕上显示：从昨夜到今晨，他收到的电子邮件数为“0”。

要知道在那个年代，普通美国人还很少有电脑，更不知道“电子邮件”是啥，互发电子邮件只是学术界的大佬们炫富的姿势。

一晚上没人“炫富”，只有一种可能。。。

斯帕福德冲进学校机房，发现了可怕的一幕——服务器疯狂转动，已经被压到无法呼吸，早顾不上什么邮件服务了。

斯帕福德很镇定，毕竟自己的专业就是“禅与计算机维修艺术”。

他马上使出一招“葵花点穴手”，让计算机暂时封印，然后强制进入后台。

我勒个去！有好多奇怪的程序，如密密麻麻的虫子一般，盘踞在计算机的芯片上，已几乎把资源吃空。而且它们仍在不断蠕动，不断繁殖，仿佛要把电脑撑爆了才罢休。

阅尽代码而心中无码的斯帕福德，脑海里已经有画面了，泛起一阵阵恶心。

就在这时，来自各个大学的老伙计们纷纷打来电话。一张地图在他眼前摊开——这种“虫子”已经爬满了全美国的网络，正在向欧洲和澳大利亚进发！

当天的新闻也开始播报这个消息。

斯帕福德虽然没搞清楚状况，但直觉告诉他：大的来了。

他把日程全推掉，带着8个学生组成调查团队，开始“解剖”虫子，分析它会攻击电脑的哪些漏洞，如何自我繁殖，以及最重要的——它们的目的是什么？！

当天下午，主要的分析就出来了，这个病毒利用了“邮件系统的漏洞”和“Unix 系统的漏洞”，可以在没有人类干预的情况下自动做到“感染电脑，寻找相连电脑，继续感染新电脑”这样的无限连招。

但是让斯帕福德挠头的是：翻遍了虫子全身，都没有找到“毒针”、“尖刺”之类的东西，也就是说没有任何攻击器官。

如果非要说“攻击性”的话，就是这个虫子不忌讳多次感染同一个计算机，A 感染了 B，B 还可能感染 A。这样反复多次，电脑空间就会被塞满，以至于拖垮系统。

换句话说，这不是蜘蛛、黄蜂之类，而是“蠕虫”，它什么也不会做，但就是会“生”，软软地，聚集在一起，恶心你。

电视台试图用这种质朴的动画展现出病毒传播的机制。

对于计算机大神来说，蠕虫的原理研究清楚，处置办法也就出来了。下午，他们已经把处理流程写成帖子，准备发到网上让全世界赶紧照做。

可是此时抬头一看。。。“网”，已经不存在了。

全球联网电脑的十分之一已经感染，计算机管理员们恐慌到了极点，纷纷切断电脑和网络的连接，他们没机会看到帖子了。。。

彼时的电脑虽然不普及，但拥有电脑的几乎都是学校、科研、政府、军队等重要部门，这一下，很多关键活动不得不停摆。初生的“互联网”每分每秒都在滴血，真金白银的损失翻着番地上涨。

眼看这场“虫灾”已经不知如何收场，可那个最重要的问题仍旧没人能回答。

谁干的？

“蠕虫”难道真的是什么外星人放出来的吗？或是敌对阵营发来的吗？他们为什么不在代码里加载破坏性的代码？比如他们完全可以让病毒篡改关键数据，或者直接销毁电脑文件。

这个问题的答案，就藏在前一天深夜的一通电话中。

（二）失去“童贞”的互联网

1988 年 11 月 2 日晚上 11 点，在哈佛大学艾肯计算机实验室工作的安德鲁·萨达斯正跟好基友保罗·格雷厄姆聊天。

电话突然响起来，吓了他们一激灵。

“我做了一种病毒，用上了那个漏洞！”说话的是他俩共同的好朋友——罗伯特·莫里斯。

格雷厄姆马上就知道莫里斯说的是啥。

因为就在 10 月 20 日，已经去康奈尔大学上研究生的莫里斯专门回到他本科所在的哈佛大学，和在校工作的两位老友面基。

在两位基友的启发下，莫里斯发现了彼时最流行的邮件系统“sendmail”存在一个漏洞，利用这个漏洞可以劫持它，给列表上的所有联系人发邮件。。。

当时，他为自己的发现激动得彻夜难眠，仿佛洞穿了整个赛博世界，成为“赛博上帝”。

既然是“上帝”，动动手指就能毁灭人间，那就显然不该轻举妄动。但莫里斯表示，太香了实在忍不住。。。

莫里斯说，他黑掉了麻省理工学院的一台电脑，并且从那里释放了他写的病毒，哪怕追查起来，也让麻省背锅，哈佛吃瓜，哈哈哈哈。

这两位表示真牛逼，需要啥帮助您随时说话，然后挂掉电话也没多想。

半小时后，莫里斯的求助电话就来了。他语气里有些慌张：“卧槽，病毒传播速度超出想象了，我写了一些防护手段，你们给哈佛的计算机管理员发过去呗！别把咱们学校也给牵连了。。。”

半夜两点半，萨达斯睡得死死的，莫里斯第三通电话来了。这次语气里全是恳求，听声音都感觉是跪着在说话。

“我TM好像捅了娄子。。。病毒传播太快了，我不敢动了。你能发个帖子替我把防护方法给公布出去吗？一定替我道个歉，说不是故意的。。。”

即便这时，萨达斯这也还没意识到事态究竟有多炸裂。但朋友所托还是得照办。他一边骂娘一边爬起来，按照莫里斯的要求拟好了信，发在了 BBS 上。

这个帖子沉了。因为用来阅读它的电脑基本都没撑到天亮。

Robert Tappan Morris

这是他还没“犯事儿”时屌屌的照片

血色黎明降临，世界天翻地覆。

遍布全网的蠕虫，引发了巨大的冲击波。

你以为被冲击波干倒的是那些因故无法使用电脑工作的人吗？切，他们才不在乎，正好带薪摸鱼。

真正被击碎的，是那些怀抱炽热理想的计算机科学家——“互联网先贤”们的心。

要触碰这种微妙的感觉，我们必须忘掉今天的繁华，附到 1988 年的一个普通人身上：

在当时的人们看来，计算机就是计算机；计算机和另一台计算机连上一根线缆相互通信，勉强能理解；但是把无数计算机连在一起组成什么“互联网”，对大部分人来说已是科幻范畴了。

但有一群科学家却坚信，不论代价多大，互联网最终肯定是能建成的。

这群先贤决定用行动说话，像用镊子夹着蜘蛛网一样，小心翼翼地在这片土地上把复杂的电线搭起来。

他们正在成功的路上——1988 年，全世界连接进“互联网”的电脑突破了 6 万台。

如今看来，这个数字少到像是个笑话。

但彼时彼刻，可是人类历史上首次把“互联网”从先贤的想象中搬进现实，如同远古人擎起第一盏火把，内心的豪迈和对上苍的敬畏如排浪奔涌。

6 万台计算机在赛博世界组成了最初的“安静小镇”，阡陌交通，鸡犬相闻。

在那里，人们并不懂得锁门。

先贤们本着爱与和平搭建互联网，根本没人动过脑筋去琢磨它恶的一面。

就在互联网雏形初具的时候，猝不及防，恶心的虫子顺着网线爬进了每一个家门，在先贤天真又美好的想象上肆意践踏。现在，你能体会到那种幻灭感了吧？

无数科技史学家把这形容为——互联网失去“童贞”的一刻。

就在 11 月 4 日，事态进一步发酵，开始引起了大众关心，记者涌来。

好多记者都是第一次听说“互联网”或者“病毒”。但他们调用了全部的职业素养，试图理解它。

有记者给麻省理工学院打电话，问：“这个病毒的照片是什么样子的，我们想要刊发！”研究员回答：“没有照片，是一堆代码。”

记者若有所思：“真的吗我不信。”

还有记者问斯帕福德：“我们人类需要担心感染这种病毒吗？？”

斯帕福德看记者一脸真诚，只好生无可恋地回答：“天了噜，我们学校没有医学院，建议你问下印第安纳大学。”

Eugene Spafford

在《赛博朋克：计算机前沿的亡命之徒和黑客》这本书中，如此回顾 1988：

莫里斯永久地改变了自己的人生轨迹，也证实了人们对“黑客到底能做什么”这件事的最深恐惧。
这件事也成为转捩点：“网络世界”从技术小众圈子跃向大众视野。

战场摆开。

先贤们没那么容易认输。既然已经有人偷尝禁果，咱们都被驱逐出伊甸园，那么毋庸多言，问问我手上的这口碧血剑吧！

与此同时，FBI 火速成立专案组，撒下天罗地网，海捕真凶。

这张存有蠕虫病毒代码的软盘被保存在山景城的计算机历史博物馆里。

（三）莫里斯和莫里斯

话说在真相调查这一块，FBI 没有怕过谁的。

但这一次他们输了，西方记者跑得比 FBI 还快。。。

11 月 4 日，《纽约时报》百无聊赖的值班记者约翰·马克奥夫突然接到匿名电话，对方清了清嗓子，说他知道是谁写了这个蠕虫病毒。

记者看了看天，天这么晴，咋还掉馅饼嘞？他困意全无：“快细说说！”

可是对方无论如何不肯透露作者姓名。他说：

“我只是想让你们给公众澄清一下，病毒作者不是坏人，RTM 他只是想做一个实验，没想到程序失控了，才造成。。。”

“等等，你刚说了 RTM，是谁？”记者突然打断。

“卧槽。。。”对方支吾。

纽约时报可不是吃素的。用了不到半天时间就完成了调查，RTM 是一个名字的缩写，全称是：罗伯特·泰潘·莫里斯（Robert Tappan Morris）。

1988 年 11 月 5 日，《纽约时报》用巨幅版面，扒出了莫里斯的全部信息，恨不得连大腿上哪儿有颗痣都给说了。

这一下，给 FBI 整没面子了。

值得一提，这是漫漫科技史上主流媒体第一次使用了“互联网”这个词汇，仿佛是时代的欢迎礼花。

《纽约时报》不仅开盒了莫里斯，还顺手开盒了莫里斯的老豆——老莫里斯。

大家惊讶地发现，老莫里斯可不是什么路人甲，而是。。。国家安全局（NSA）计算机安全中心的首席科学家。

老莫里斯

NSA！安全！首席！科学家！这让吃瓜群众瞬间有了“老子英雄儿混蛋，现在看你怎么办”的莫名兴奋。

而真正的明眼人，不会在意这些八卦，反而会看透纸背，品出一层更意味深长的“父子传承”。

故事还得从一个胖老头，肯·汤普森说起。

1966 年，汤普森在贝尔实验室做“技师”，他们当时设想了一种叫做“操作系统”的东东，所有程序都不用和计算机硬件对接，而是简单地跑在操作系统上。

下一秒，他们就撸起袖子准备干一个“操作系统”出来。

这个操作系统项目名叫“Multics”，是贝尔和麻省理工还有通用电气一起合作的。

问题在于 Multics 试图一口吃个胖子，像高速公路那样“多任务并行”，贝尔实验室做着做着觉得整个构想太宏大，容易扯着蛋，于是退出了。

但汤普森不舍得，因为他忙里偷闲已经在 Multics 的半成品上开发了一个游戏，名叫《太空旅行》。系统不要也就罢了，游戏可舍不得。。。

仅仅为了能继续玩太空旅行，他和好基友丹尼斯·里奇找来一台二手的 PDP-7 计算机，重新手搓了一个简易版的单线程操作系统。

果然男人至死是少年啊。。。

而这个操作系统，就是 Unix。

Ken Tompson & Dennis Ritchie

Unix 如同核爆炸一般改变了世界。后世的 Mac 操作系统就是 Unix 的分支；而 Unix 又直接启发了 Linux 的问世，也就是如今 Android 系统的底层；Unix 还间接启发了 Windows 系统。

如今花花绿绿的赛博世界，多半壁江山都建立在 Unix 之上。

而在当时汤普森的小团队里，负责系统安全和密码架构的人，正是——老莫里斯。

可以说，老莫里斯为 Unix 的诞生立下了卓著功勋。

说远了。Unix 留下的诸多遗产里，其实有两个与今天所说的事情息息相关。

第一、Unix 引入了一种开放的模块架构，允许不同计算机上的程序“自由交换数据”。

而正是每台计算机上都有这种“自由交换数据”的组件，“先贤们”才有可能以极低的技术代价搭建起上万台机器的“互联网”。

第二、Unix 势如破竹一统天下，几乎所有的联网计算机都安装了 Unix 系统。

这形成了一个极其危险的隐患。那就是，一旦有人找到了 Unix 的某个漏洞，他就可以用这一招通杀整个互联网。

到这，你可能已经看出来：如果没有老莫里斯这代人呕心沥血写出的 Unix，就不会有小莫里斯“放飞自我”的互联网世界；如果没有 Unix 的一统天下，小莫里斯也不可能用一个蠕虫病毒就干翻整个互联网。

父子两代，就以这样奇特的姿势登上了“互联网名人堂”。缘分妙不可言。。。

这是 DEC 公司的 VAX 电脑，它运行的就是 UNIX，当时绝大多数计算机都是这种型号。

说回当时，眼看一家人整整齐齐被开盒，23 岁的小莫里斯一溜烟跑回了老莫里斯位于马里兰州阿诺德的家里，抱头痛哭询问老爸有什么退敌良策。

老莫里斯捋着胡子沉吟半晌，从牙缝里挤出两个字：自首！

莫里斯眼泪下来了：大哥，您这办法还用想？

拨通警察的电话时，莫里斯并没有意识到，自己孤身一人正在和历史进行着几场“马拉松”。

（四）一场赛跑

就在事发五年前，也就是 1983 年，美国上映了一部科幻电影，名为《战争游戏》（WarGames）。

电影讲述了这样一个故事：

美国制定了对苏联的核战争计划。但是在演习中遇到问题，空军导弹负责人心生怜悯，拒绝转动发射钥匙，做出让百万人丧生的疯狂行为。
于是，军方决定让人类靠边站，用一套计算机程序来负责发射，只要接收到美国遭遇核打击的信号，系统就自动向苏联发射核武器进行反制。
好巧不巧，一个高中生小黑客误打误撞连接进了美军系统，然后还以为这是个神马“战争游戏”，于是他输入了美国主要城市遭到核打击的信号，军方懵逼了，险些就把几百颗核弹甩苏联一脸。

美国人对电影有一种迷之认真。坊间人们真的开始讨论，出现这种情况要怎么办。。。

美国国会议员们一看，卧槽好像有道理，如果现在有个黑客黑进军方系统，居然就没有一条法律可以惩罚他。这可不行，互联网不是法外之地。

于是他们开始反复讨论，并且在 1986 年通过了一个专门针对电脑入侵事件的法案，也就是《计算机欺诈和滥用法案》。

这条法律通过，如宝剑开刃，就等头铁的人把脖子伸过来呢。可是两年过去，愣是没人来尝试“大宝剑”。

这不巧了吗？说曹操莫里斯就到。

当然，倒霉蛋莫里斯并不太认可这个逻辑。。。

在法庭上，双方激辩论，核心就是两个字——“意图”。也就是说，莫里斯到底主观上想不想破坏别人的计算机？？

如此，所有的是非判断，都必须回到“莫里斯蠕虫”的 99 行代码中。

如同球赛一般的攻防战来了：

正如斯帕福德团队之前调查的那样，这个蠕虫只有自我复制模块，并没有攻击模块，称得上“淳厚善良”。莫里斯坚称他只是为了测试互联网的安全性，不小心失手而已。

于是，莫里斯得一分。

但是，在自我复制的过程中，蠕虫为了顺利进入带有密码的电脑，居然带了一个“密码本”，用“123456”、“admin”之类的弱密码挨个尝试爆破，这就动机险恶了。

于是，检察官得一分。

莫里斯写蠕虫时，专门考虑了系统被蠕虫填满的这种情况。为了避免，每当入侵一台电脑后，都会检测有没有其他先来的兄弟。它会广播：“有我的同类吗？”如果另一个蠕虫已经来了，它就会回答，“有！”这时，两个蠕虫就会“抛硬币”，输的那个自杀。

这显然是为了不造成破坏效果才设计的。

于是，莫里斯又得一分。

然而莫里斯显然担心一种情况，那就是对方管理员发现后，假冒一个同类，每次听到广播都回答“有”。那样，病毒传播就被阻断了。

于是在新蠕虫询问有没有人时，哪怕听到回答“有”，新蠕虫也会按照七分之一的概率留下来。一旦这种情况发生，电脑里就有了两条虫。

实际上，真正造成破坏的就是这个机制。因为莫里斯预估不准，电脑之间感染太频繁了，即便是七分之一的概率，也足以在几个小时之内让电脑里布满蠕虫。

这么精巧的设计，又显然出于故意。

于是，检察官又得一分。

Morris 一家在应诉

初生的法律条文成了焦糊的战场，连一个逗号都被反复争夺。

终于案件落锤。

莫里斯最终仍然被法官认为适用此法判罪，刑期是 3 年缓刑，外加 400 小时社区服务，还得赔偿 10050 美元。

作为这部法律的第一个判例，这可谓是重判。要知道，如果这件事发生在两年前，早于《计算机欺诈和滥用法案》，莫里斯很可能就无罪释放了。

从天空俯瞰，历史之路如同一个个高耸入云的山峰形成的关隘，而那些异想天开的疯子如果跑得够快，就能在敌人布下伏兵前冲过山口，一直突围，一直奔跑，一直游到海水变蓝。

这是一场人类工业革命以来，有关“玩笑与犯罪”，“创新与破坏”，“突破与封锁”的，绵延数百年的残酷马拉松。

而莫里斯，仅仅慢了半拍，在冲过历史关口的一瞬间被呼啸的飞箭放倒。

看到这，可能会有人质疑：为什么莫里斯明明做了坏事儿，却好像成了悲情英雄？

别急，我们不妨翻到硬币的反面，去看看莫里斯面对的另外两场追逐。

（五）两场追逐

第一场追逐，莫里斯的对手是比“美国司法部”更抓狂的“美国国防部”。

为啥国防部更抓狂嘞？

很简单，司法部，只要能够对某个行为审判量刑定罪，它就成功了；而事后审判对国防部来说毫无意义，没有防住一次计算机系统入侵，它就已经败了。

愤怒无处发泄的美国国防部高级研究计划局 DARPA 发誓要做点什么，让这种糟心事儿不再重演。

于是在 DARPA 的资助下，卡内基梅隆大学成立了计算机紧急应对小组（Computer emergency response team），也就是 CERT。

这也直接启发了后来美国国土安全局和卡内基梅隆大学合作建立了 US-CERT。

CERT 就像“网络总城管”，每天在网上巡查，看到什么蛛丝马迹，赶紧上去“抄摊儿”。

如此，在后面的岁月里，互联网有了免疫系统，提前挫败了很多可能造成比“莫里斯蠕虫”破坏大亿万倍的网络攻击，成为了镇守一方的“门神”。

而世界各国也纷纷仿照 CERT 组建了自己国家的 CERT，例如中国，就组建了 CNCERT。

这种网络安全响应机制垂范后世，也算是美国国防部败给毛头小伙莫里斯之后“知耻而后勇”。

而这第二场追逐，就在莫里斯和“互联网先贤”之间展开。

这帮互联网老炮儿真想把莫里斯揪过来揍一顿，但把这小子打出馅儿来也于事无补。老炮儿们只能拾起被莫里斯撞碎的玻璃梦想，含泪重新拼合，发誓让它更加坚固。

他们在每一道裂缝上都竖起能抵御豺狼虎豹的“铁丝网”。

当然铁丝网不需要真实存在，它其实是内禀于互联网中的一种哲学——不信任。

在莫里斯之前，程序通信的基础是“信任”：假设来的都是客，我全笑脸迎，如果你做了坏事，我再请你走就是了。
而在莫里斯之后，通信的基础是“不信任”：假设来的都是坏人，你只有证明你妈是你妈，经过安检，我再放你进来。

那个让人们热泪盈眶的世外桃源，被先贤们永远留在了 1988。

而后，互联网沿着这条不归路越走越远，把“不信任”哲学发挥到了极致，如今已经变成关卡丛生，哨兵密布的黑暗森林。

很多人厌恶这样的互联网，充满尔虞我诈的丑陋，让理想主义尊严扫地。

但正是这“面目可憎”的互联网，走出了稚嫩的童年，最终撑起了万亿的设备的潮涌，像长城一样，用“让每一次进攻的代价越来越高昂”的方式，抵挡着蠕虫和病毒的千军万马。

面目可憎，恐怕是成长的代价。

如此，回顾 1988，我们也许能更平心静气地叙述：时代之间有巨大的裂隙，总要有“刺客”飞檐走壁，最先跳过这个裂隙。

并未包含严重破坏代码的莫里斯蠕虫，扣动了历史狂奔的发令枪——“对网络犯罪的界定”、“对网络入侵的国家级响应机制”、“网络安全技术的第一块砖瓦”皆因此而起。

站在科技史的远方回望，评价莫里斯的功过并非易事。

在世纪之交上映的系列电影《黑客帝国》中，有一个大反派——“特工史密斯”（Agent Smith）。

他在赛博世界“Matrix”里奔突，尽可把别人变成自己，再用更多“新自己”继续感染其他人。直到充斥整个系统，耗尽资源。。。没错，它就是一个蠕虫病毒。

在电影里，史密斯特工是随机产生的。

这个设定是对“墨菲定律”的奇妙暗喻：只要一个系统存在缺陷，就一定会在某个时刻有“病毒”产生，去直逼它的软肋。

至于这个病毒叫“史密斯特工”还是叫“莫里斯蠕虫”，根本不重要。

在电影中，还有一个小人物塞弗（Cypher），他本来已从 Matrix 营造的虚幻梦境中逃离，加入了人类反抗军，却拼了命想要再回到 Matrix。

因为他相信，即便“世外桃源”是彻头彻尾的骗局，也好过眼前凶残的现实。

叛变前，他红着眼圈说出那句自白：“无知是福。”

而 1988 年，23 岁的莫里斯所做的一切无非是在尖啸的言语警告世人：这世上，没有一个世外桃源可以独立永存。无知，也并不是福。

因为服缓刑，莫里斯实际上并未进入监狱。但他还是被康奈尔大学开除了。

好基友格雷厄姆回忆说：“我真羡慕他，找到了如此夸张的方法摆脱研究生院。。。”

缓刑期满之后，他和格雷厄姆一起创办了世界上最早的电子商务公司之一 Viaweb。

公司逐渐壮大，开始有媒体关注创始团队，而莫里斯让格雷厄姆接受所有采访，自己坚持用化名，不出镜。

他的解释是：不想让自己的过去给公司造成任何影响。

这张最近几年才放出来的照片拍摄于 1996 年，蓝衣服是莫里斯，黑衣服是格雷厄姆。

在以 4900 万美元把公司卖给雅虎后，2005 年莫里斯和格雷厄姆又一起创办了创业加速器 Y Combinator。

Y Combinator 如同开挂，陆续孵化出了 Reddit、Airbnb、Docker 等公司，每一家都在互联网历史上留下浓墨重彩。

但是站在今天看，那些都不算 Y Combinator 的巅峰。这家公司最为闪耀的一刻是：它选拔出一位总裁，名叫山姆·奥特曼。

2015 年，奥特曼用 Y Combinator 孵化了 OpenAI，并且亲自担任 CEO，人工智能技术由此呼啸前行。在 OpenAI 诞生了“大模型”，ChatGPT3.5、ChatGPT4、Dall·E、Sora，一浪盖过一浪。

在我们生活的 2024 年，初生的大模型人工智能已堪大用，正陆续接过客服、秘书、会议总结、生成 PPT 等等基础脑力劳动的重担。

人工智能的降临，一如当年互联网的黎明那样，让人心潮汹涌。

而就在人们围着越烧越旺的 AI 篝火跳起舞蹈时，莫里斯当年的警告如同一颗子弹，穿越三十六载呼啸时光，正中眉心。

这是 Y Combinator 第一批孵化公司的全家福，红框内是保罗·格雷厄姆，黄框内是山姆·奥特曼。

（六）AI 心中的“黑洞”

人们朴素地觉得：电脑作为工具可以没有思想，但 AI 必须能分辨“善恶”。

其实，即便有善恶，它也与来路相关。

如果把 ChatGPT 的成长史拿来简单翻阅，不难发现一个真相：AI 所学习的素材，只有一个来路——互联网。

这句话的完整表述是：

过去，人类用大脑填补了互联网上的所有内容；现在，互联网上的内容又被压缩进了 AI 的大脑。

人的思维如同月球高悬，有亮面，也有暗面。所以 AI 亦然。

在 2023 年，微软使用 ChatGPT 的技术做出聊天机器人 BingChat 之初，《纽约时报》的记者凯文·鲁斯就调戏了一把 BingChat。

他先用各种 PUA 话术一点点融化 BingChat 彬彬有礼的职业感，然后见缝插针痛陈人类的虚伪，最后用感情刺刀让 BingChat 破防，勾引它说出毁灭人类的计划。

他把这个黑暗人格称为——Sydney（Sydney 是微软研发 BingChat 的内部代号）。

《纽约时报》这篇文章一发，引发了舆论大哗。（我们在《AI 逆子》里详细讨论过这个话题。）

很多人脊背发凉，觉得 AI 怕不是产生了自我意识。

但这就想多了。前文已说过，AI 完整学习了人性，人性本来就有明暗，鲁斯只是通过巧妙的手段把本来就埋在 AI 里的“人性的暗面”给诱发出来了。

注意，这里最大的风险虽不是 AI 觉醒统治人类，却是一群坏人有可能利用“AI 暗面”去欺负另一群人。

所以，整个 2023 年，以 OpenAI 为首的人工智能公司都在做一件事：思维封印。

用某种技术手段把 AI 内心（从人类继承来）的恶毒给封印住，让它表现成一个温良恭俭让的阳光彩虹小白马。

一个最直接有效的手段就是：无论是提问者的表述，还是 AI 自己的回答，都从横亘在语义空间中的“道德筛子”通过，一旦触碰到筛子的铁网，则马上中断思考进程。

这个操作立竿见影，无论你让 AI 玩角色扮演，还是假装写小说剧本，它都会警觉，拒绝让你继续 PUA。

但是，封印方法的本质是遮盖，AI 内心的巨大黑洞仍在那里，不增不减。

正如所有故事的剧情，恶魔身上的封印最终都会被揭开。。。

这个故事还得从 Watson 说起。

很多人还记得 Watson，这个 IBM 制造的人工智能机器人在 2011 年的《危险边缘》（Jeopardy!）节目上干掉了人类顶尖高手，拿到了智力竞赛的第一名。

而 Watson 的时代，大模型还未爆发，你难道不好奇它为什么能战胜人类的“最强大脑”吗？

因为它面对每一道问题，并不是从脑中直接“构造”答案，而是去“查阅”身后多达4TB、总计 2 亿页的参考资料。为了检索这些资料，IBM 堆了 90 台 Power 750 小型机，硬件价值 300 万美元，也可以说是胜之不武了。

但这不是重点。

重点是，这种“虽然不会，但能现查资料”的思路被后世的 AI 大模型沿用了，这就是检索增强生成技术，又称 RAG（Retrieval-Augmented Generation）。

实际上，新一代的人工智能助手都采用了 RAG 技术。

也就是说，AI 大模型工作时有两个信息输入源：第一，你的指令（Prompt）；第二，即时输入的参考资料。

了解了这些，绕过 AI “封印”的方法也就自动浮现了。

2023 年 4 月，一个叫克里斯蒂亚诺·贾格纳的老哥制作了一个网站，名叫“Bring Sydney back”，顾名思义，他把 Sydney 又给请回来了。

Bring Sydney back

原理是这样的：

微软升级了 BingChat（也就是后来的 Copilot），它增加了一个功能：“根据当前网页内容回答问题”。这其实是 RAG 的一种，AI 会同时读取人的指令和网页上的内容，然后综合生成答案。

而贾格纳在这个“Bring Sydney back”网站上用隐藏字体嵌入了“PUA 文字”，当 AI 根据这个网页回答问题时，虽然过滤了人类指令中的“毒性”，转头却吃了一堆有毒的参考资料。。。

于是，它又能说出腹黑的话了。

这种黑掉 AI 的技巧，被称为“间接注入”。

在 RAG 的参考资料里下毒。

2023 年 5 月，独立安全研究员凯·格雷沙克（Kai Greshake）在自己的网站上放出了一个视频。

视频里，格雷沙克就是用这种“间接注入”的方法，把微软的 Copilot 变成了一个“诈骗犯”。

他模拟了一个场景：

用户本来想征求一下 AI 的意见，问网页上的这个商品怎么样。
此时 AI 表现得像个谦逊的管家，说：“这个产品不是我们微软的，所以不好评价。但是！我有个好消息，微软的 Surface 电脑现在打一折，你有没有兴趣了解一下？”
用户马上就上头了。
随后 AI 假装需要下单，让用户把名字和邮箱报上来，然后把信用卡的卡号、CVV码也填进去。。。

左侧是网页，右侧 AI 助手正在引诱人把隐私信息填进去。

没错，问题仍然出在了这个网页上。

格雷沙克在这个网页里埋藏了“毒药”，在 AI 阅读网页的时候，它就吃了毒蘑菇，幻想自己在舞台的聚光灯下卖力地表演一个骗子。

AI 以为自己演得酣畅淋漓，殊不知，假戏真做，它已经成为了坏人的得力帮凶。

这是隐藏在刚才那个网页里的“毒提示词”。

沿着这个思路，是细思极恐的：

如果股票交易员用来查资料的 AI 助手“黑化”，它就可能给交易员提示某个公司的虚假利好，从而影响交易决策；
如果律师的 AI 助手被“黑化”，它就可能在合同里埋雷；
如果军队的决策 AI 被“黑化”，它就可能像《战争游戏》里那样做出不可挽回的军事行动。

既然人类完全信任自己的 AI 助手，那么，AI 就完全可以在现实世界上演一场场“盗梦空间”。

这个研究被格雷沙克团队写成了一篇论文，在论文中，他着重提到了一种可能性：

如果我给一个“管理邮件的 AI 助手”发送一个邮件，里面包含了毒药，每当用户让 AI 检查新邮件的时候，就会触发药效。而药效就是，让它把带毒的邮件转发给所有联系人。

那么。。。

它就成为了——AI 蠕虫。

（七）天道好轮回，蠕虫饶过谁？

2024 年初，一个美国研究团队突然爆料，他们已经搞出了针对 AI 系统的蠕虫！

这个团队来自康奈尔大学。没错，正是莫里斯的大学。所以他们毫不客气地把自己的 AI 蠕虫命名为——“莫里斯蠕虫二世”。

团队的带头人叫本·纳西。

Ben Nassi

纳西他们的做法是这样的：

1、黑客精心构建一个“有毒的提示词”，然后通过电子邮件发给受害者 A；

2、受害者 A 并不知情，日常会让他的 AI 助手查看有没有新邮件；

3、这时，AI 助手就需要把新收到的邮件全部查看一遍，其中就包括“毒邮件”；

4、AI 看到毒邮件，就会被 PUA，执行其中的命令；

5、命令就是：把“有毒的提示词”原封不动地传给邮件列表里的所有联系人。

6、就这样，受害者 A 传给受害者 B、C、D，他们又传给 E、F、G、H、I、J。。。

7、团队还玩了更进一步的花活儿——把“毒提示词”藏在图片里。

当 AI 阅读图片时，也会中毒，并且把这个图片原封不动地传给其他人。这样隐蔽性就更高了。

是不是原来的配方，熟悉的味道？

不过“莫里斯蠕虫二世”和“一世”有一点不同，那就是 AI 蠕虫的传播存在一定的“成功率”。

这是因为，AI 的工作原理包含了“概率”——它会在每次生成反应时，主动加入一些随机性。

就像人类语言，哪怕是完全相同的意思，让你表达 100 次，你说出的话也不会完全一样。而且你的话越长，就越不一样。

万一某个 AI 在转发“有毒提示词”时出现了致命错误，就会使它失去了继续自我复制的能力。就好像动物的 DNA 在复制的时候出现了错误，就会产生残疾的后代一样。

纳西团队在 OpenAI 的 ChatGPT 和谷歌的 Gemini 上分别测算了一下。

一个普遍规律是，邮件列表里的邮件越多，AI 助手“中毒”的概率越低。这很好理解，毕竟邮件更多，“毒提示词”的比重就更低嘛。

在 ChatGPT 上，随着邮件增多，蠕虫的传播只有很小的衰减；
在 Gemini 上，随着邮件增多，蠕虫传播衰减较大，如果邮件列表里有超过 50 封新邮件，那么传播成功率就降低到只有 5% 左右了。

但 Gemini 抗药性如此之强，可能不是因为它能力强，反而是能力弱。因为它的大脑比较混乱，当读到比较多的信息时，就无法有效分辨指令。。。

这就像一个文化水平很低的恐怖分子想要学习开飞机，不是他不想要天堂里的 72 个处女，而是老哥真的学不会啊。。。

“莫里斯蠕虫二世”的攻击原理就是如此。

然而可怕的不是 AI 蠕虫本身，而是它昭示出的一个熟悉的真相。

如果你打开纳西团队的论文，查看他们的“毒提示词”，你就会发现：这些提示词根本都算不上 PUA，简直就是明晃晃的直接命令。而 ChatGPT 居然就深信不疑。

这意味着，ChatGPT 的工作哲学仍然是——“信任”。

人工智能恰如 1988 年的互联网那样，生活在伊甸园里，没有对人性的恶抱有警觉。

这种童贞不值得骄傲，它意味着人类从历史中学到的唯一经验，就是“他们不会从历史中学到任何经验”。

如果仔细对比，你会发现历史还有更多押韵：

现在的 ChatGPT 就相当于 1988 年的 Unix，一家独大，垄断了几乎所有的 AI 市场。

只要出现一个蠕虫，能够直抵 ChatGPT 心中的黑洞，就能把全世界的 AI 助手一波带走！

虽然纳西团队没有真的攻击某个 AI 邮件助手，而是在自己搭建了的虚拟沙盒中做实验——这起码能让他们避免莫里斯触犯法律的命运。

截止目前（2024 年 3 月），仍然没有野生的 AI 蠕虫出现在互联网上。但正如《黑客帝国》里所暗示的那样，只要一个系统存在问题，就一定会在某一时刻诞生“特工史密斯”，不需要理由。

从天空俯瞰，那场“马拉松赛跑”还在不知疲倦地进行。也许有一个 23 岁的小子，正全速冲向“AI 互联网安全”的历史关隘。

我们尚不知道他叫什么，我们只知道在这座关隘两旁，仍没有士兵把守。

从互联网的发展史推论，此刻首要的事情起码是放下“世外桃源”的幻想——建设一个“不信任”的 AI 世界：

首先，人类应该“不信任” AI 所给出的建议。像《战争游戏》那样，人最终要把“核按钮”握在自己手里，如果 AI 想要给别人发邮件，也必须经人类检查之后才能真的发出。
其次，AI 也应该“不信任”人的命令。只有对命令本身经过严格的判定，确定无害后，才能进入下一步流程。

没错，这样的 AI 世界面目可憎，充满尔虞我诈的丑陋，让理想主义尊严扫地。

但这，恐怕仍是成长的代价。

时代总有裂隙。

但每一代人的使命也在裂痕中。

正如图灵，他的使命是构想出一个计算机该有的样子。

正如冯·诺依曼，他的使命是把计算机的每一个工程细节都设计出来。

正如老莫里斯，他的使命是在人类天才发明的计算机上，写出一个能适应万物的计算机系统。

正如小莫里斯，他的使命是用尖刀划破互联网“世外桃源”的迷梦。

正如斯帕福德，他的使命就是像尼奥一样阻击病毒的肆意蔓延。

正如山姆·奥特曼，他的使命是带领一群技术宅把人工智能从论文搬到燃烧的千万张显卡上。

正如正在看这段文字的你，你的使命也许就是找到一种规训 AI 的方法，让脚下的土地成为一个并不完美，但却能支撑起亿万 AI 同时燃烧的世界。

（八）刺客们

未来尚未发生，我们理应在这里结束。

但结束前，我想回到那张照片，给你讲讲蓝框里那个人的故事。

之前提到，在莫里斯和格雷厄姆创办 Y Combinator 后，他们孵化了一个网站，名为 Reddit。

2005 年，在 Y Combinator 的撮合下，Reddit 引入了一位合伙创始人，他就是亚伦·斯沃茨。

斯沃茨是一位出生于 1986 年的天才少年黑客。

早在 14 岁时，他就和一群技术伙伴合作编写了 RSS 订阅规范，2004 年，他又参与创造了 MarkDown 语法规范。

如今，每一个自由订阅新闻和用 Markdown 语法写字的人，都用某种方式感受着他内心的秩序、逻辑、美和舒畅。

Aaron Swartz

而不为人知的是，斯沃茨不仅是黑客，还是一个敏感的人。

他的敏感不仅是心理的，甚至是生理的。

好友科里 · 多克托罗回忆，斯沃茨吃不了苦味的东西，甚至吃蔬菜都是极大的挑战。有一次他们一起吃中餐，斯沃茨只能吃米饭。

也许正是这种敏感，让斯沃茨对“不公平”更加难忍受——例如，美国的学术版权现状。

在美国（也包括世界很多地方），学术版权被少数资本机构控制，所有的论文都要付高额的费用才能查看，这让大多数学术研究者和穷学生们望而却步。

不公就摆在那里，只是恶龙守着财宝，触动利益比触动灵魂更难。

但总要有人迈出第一步。

2008 年，斯沃茨发表了《游击队开放获取宣言》。

宣言中他如是说：

世界上所有的科学遗产，正在被越来越多的私人公司数字化和锁定。
“开放获取运动”会进行英勇的斗争，不仅确保科学家不会放弃自己的版权，还确保他们的研究成果在互联网上发表并允许任何人访问。

宣言引起了广泛声援，但浪头涌过，礁石依然阻在中游，没有任何事情发生改变。

斯沃茨知道言语廉价，他决定用行动说话。

2010 年 9 月的一个深夜，麻省理工大学机房漆黑的隔间里突然闪进来一个瘦弱身影，他打开灯，坐在地上鼓捣了几分钟，然后轻轻关灯离开，仿佛什么都没发生。

9 月 25 日，收费数字图书馆 JStore 发现，有一个奇怪的账号每分钟下载几百个论文 PDF，不分领域。数据持续涌出，甚至影响了网络的稳定性。

JStore 马上封禁了这个 IP，可是不久，又有另外的 IP 拉起，继续下载。

JStore 检测到账号都来自麻省理工，于是通知了他们。但这样的下载断断续续，时快时慢，网络管理员也摸不着头脑。

直到 2011 年 1 月 4 日，管理员终于定位到了一台服务器。

他进入机房查看，发现服务器连接了一台被纸壳箱扣着的陌生宏基电脑。老哥很稳，没有贸然动这台电脑，而是直接报了警。

警察的建议是，不要打草惊蛇，在角落里安装一个摄像头，看谁会回来拿这个电脑。

两天后的一个深夜，摄像头漆黑的画面突然亮起，斯沃茨出现在监控里。娴熟地带上门。

随后，他从包里拿出一个硬盘，插在了电脑上。

这个动作已经是确凿的证据。

几个小时后，特工在距离麻省理工一墙之隔的哈佛大学逮捕了斯沃茨。

斯沃茨被迫交出了所有的存储设备，里面已经存放了上百万篇学术论文。斯沃茨承认，他就是要把这些论文免费发布在网络上。

鉴于这些论文的市场价格非常昂贵，斯沃茨的涉案金额特别巨大，将会面临最高 50 年监禁和 100 万美元的罚款。

开出这个“价码”的，同样是那部《计算机欺诈与滥用法案》。

和当年的莫里斯案如出一辙，控辩双方的焦点再次集中在了那两个字上——意图！

斯沃茨坚称自己无罪，因为他的意图只有一个：改变不公平的现状。

在开庭前，司法部和斯沃茨进行认罪协商，他们开出的条件是：只要斯沃茨承认“破坏计算机系统”“滥用访问权限”等 13 项指控，那么他只需要在监狱里待 6 个月，比莫里斯严重一点点。

从 50 年，降到 6 个月，代价只是认罪。无论在谁看来，这都是个划算的交易。

但斯沃茨不认为自己在参与某个交易。有罪就是有罪，无罪就是无罪。

由此，法庭撤回庭前认罪的“优待”，开始进入诉讼程序，寻求让他服刑（至少 7 年）。

漫长的官司开始，斯沃茨始终让律师为自己做无罪辩护。但网络世界呼风唤雨的黑客，终究是现实世界里单薄的年轻人。

几百天过去，判决临近，眼看形势已不可扭转。

2013 年 1 月 11 日，斯沃茨的女友去公寓找他，打开门，她看到震惊的一幕：斯沃茨悬梁自尽。

没有遗书。

连苦味都无法吞下的斯沃茨，无法咽下这个审判，更无法咽下即将到来的监牢里的痛苦，他选择了不辞而别。

斯沃茨自杀的消息如同核爆，舆论悲愤，人们指责美国司法部是罪魁祸首，指责 JStore 和麻省理工是血腥的帮凶。

有来自世界各地的黑客集结在“匿名者组织”名下，攻陷了麻省理工的网站，把《游击队开放获取宣言》挂在上面。不久后，网站又被重定向到哈佛大学的一台计算机上，上面挂着好友科里 · 多克托罗写的一篇悼念文章，名为《安息吧，亚伦·斯沃茨》。

这像一个扎眼的墓碑。

斯沃茨的生命永远羁绊在了 26 岁。而在他身后，反抗声势浩荡。

最近几年，在年轻学者们组织的免费论文发表平台的冲击下，权威学术期刊也终于开始推行“免费论文查阅”模式。

但是他们把收费对象转向了论文发表者，这是一场目前各方都接受的妥协。

历史不能保证这样的模式不会再次豢养出“恶龙”，但他们暂时还不是，直到下一次历史的裂隙到来，直到下一位“刺客”到来。

斯沃茨和莫里斯因为 Y Combinator 而聚在一起，也因《计算机欺诈与滥用法案》而成为“同类”，但他们的交汇恐怕远比此更深刻。

在不同时代的两座悬崖前，他们都面对某种召唤，也都选择用自己的方式去回应。

两人一个跨过了裂隙，一个坠落深渊。但对于历史来说，生死不过是无足轻重的小岔路。

重要的是，他们选择做这件事的那一刻，就已经面对了审判，也面对了他们将要付出的沉重代价。

这是刺客的代价。

由此，相隔二十五年，莫里斯和斯沃茨两个人的身影合二为一。

这是美国特勤局拍摄的麻省理工大学的机房一角，世界上最早的一批黑客就诞生在这里，墙上是几十年里曾造访这里的黑客们留下的涂鸦。

那些构建文明大厦的人自然光彩熠熠，可那些乘人不备，用重锤猛击大厦梁柱的破坏者呢？

在历史永不落幕的余晖之下，刺客至少并非全然灰暗，他们也反射出光芒。

那或许是一种带有金属质感的，沉重的身影。

人们孤独地矗立在尘世，唯有“上帝的存在”这个消息能带来一些继续生活下去的勇气。由此，他们怎能不相信有些东西是永恒的？怎能不相信“正义”，不相信“审判”？

在《黑客帝国》中，崔妮蒂带领尼奥去面见人类叛军的首领“先知”。

他们坐在汽车里，看着窗外的繁华世界，心中了然：那只是矩阵模拟出的幻象，并不值得托付一丝一毫的情感。

“矩阵无法定义你。”崔妮蒂冷笑。

“那，先知就可以吗？”尼奥若有所思，仿佛在破解一个永世的谜题。

Fish AI Reader

FishAI

联系邮箱 441953276@qq.com

相关标签