顶级模型免费开放，攻击AI暗网泛滥：AI平权如何撕裂安全防线？

上周末有两则AI圈的消息，放在一起看很有意思。一边是美团旗下AI助手Tabbit国际版宣布免费集成GPT-4o等顶级大模型，用户无需付费就能调用媲美ChatGPT Plus的核心能力。另一边，暗网市场上新出现的无道德限制大模型WormGPT完成一次重要迭代，其生成的钓鱼邮件已经让多家金融机构的内部安全测试败下阵来。看似无关的两件事，其实指向了同一个正在加速的深层变化。

Tabbit免费化的真正信号

很多人把Tabbit国际版这次动作简单理解为“补贴拉新”，但远不止于此。它直接集成了GPT-4o、Claude 3.5等最新模型，不设每日调用上限，也不需要用户绑定信用卡。这在半年前还难以想象——彼时企业还在为每千个token的报价精打细算，如今顶级能力竟成了免费入口的标配。

这背后是模型成本的剧烈坍缩。OpenAI和Anthropic持续压低API价格，开源阵营的Llama 3、Qwen 2在多项基准测试中已逼近闭源旗舰。当模型推理成本降到几乎可以忽略时，科技公司正在用“超级应用化”的思路将AI包裹进外卖、出行、办公等场景，让用户无感地使用最强大脑。

美团不是孤例。同样在上周，微软将Copilot深度嵌入免费版Office网页应用，字节跳动把豆包大模型装入飞书的基础版套餐。顶级大模型的能力正以超出大多数人预期的速度，穿过定价围墙，涌入普通用户的指尖。这当然是好事——AI不再是少数人的特权，技术民主化从来都值得欢呼。

可硬币的另一面，正是这种低成本、高可用性的另一群“用户”——网络攻击者。

暗网里长出的“无缰AI”

就在Tabbit宣布免费的同一天，安全研究机构SlashNext发布了一份报告，追踪到暗网工具WormGPT的最新变种。它基于开源大模型精调而成，删除了所有安全对齐，能批量生成高度针对性的商务邮件欺诈话术，甚至能模仿特定高管的写作风格。测试显示，由它生成的钓鱼邮件让受训安全意识员工的点击率上升了37%。

这不是孤例。去年FraudGPT、Evil-GPT等工具相继出现，今年又涌现出能自动寻找漏洞的HackGPT、能实时生成免杀恶意代码的BlackMamba。它们无一例外都站在了免费开源大模型的肩膀上。攻击者不需要从头训练模型，只需下载一个Llama或Mistral的开放权重，用极少的数据做微调，就能打造完全听从恶意指令的“犯罪副驾驶”。

传统网络安全的护城河建立在信息与工具的不对等上：攻击者需要较高技术门槛才能编写高级恶意软件、策划精密的社会工程攻击。但攻击性AI把这道门槛踩到了地板上。一个没有编程基础的骗子，现在用自然语言就能生成接近零检出率的恶意文档，成本不过是几十美元的推理算力。

安全模型正在被“供给侧”瓦解

当我们习惯于用“降本增效”来赞美AI普及时，常常忘记攻击者同样享受这份红利。过去企业花重金部署邮件安全网关、终端检测系统，依赖的是攻击手法更新速度远慢于防御规则迭代速度这一前提。但AI打破了这一平衡——攻击者可以实时生成全新语义的钓鱼文案，每个变种都独一无二，让基于签名和规则的防御体系瞬间过时。

更令人不安的是多模态攻击的兴起。研究机构DeepMind的安全团队最近演示了一种攻击路径，利用开源多模态模型将恶意指令隐藏在图片的不可见像素中，前端AI助手在解析图片时自动执行任务。当Tabbit这类集成多模态能力的应用广泛开放，类似攻击面就被指数级放大。普通用户还在兴奋于AI识图翻译的便利，攻击者已经在测试多少种方式可以绕过内容审核注入恶意指令。

这揭示了一个残酷的反讽：大模型安全对齐的努力，正在被开源和免费化浪潮悄悄瓦解。科技公司投入数十亿美元确保闭源模型“不作恶”，但开源社区里任何人都可以剥离安全层，甚至故意训练出完全服从恶意指令的模型。当顶级模型的能力以近乎零门槛的方式释放，作恶的成本远比从零构建低得多。

从漏洞扫描到“认知渗透”

如果我们把视线从钓鱼邮件上移开，会看到更深层的威胁。攻击性AI正在从工具层面上升到策略层面，从单纯的漏洞利用进化到对组织决策过程的认知渗透。举例来说，威胁行为者现在可以用大模型批量抓取目标公司高管的公开言论，自动生成高度个性化的虚假商业合作邮件，再配合AI生成的深度伪造语音进行多轮“预热”沟通。

这种攻击不再是传统的单点突破，而是一个持续的低强度认知战过程。它不直接触碰技术防火墙，而是绕过防线攻击人脑的信任机制。当Gartner预测到2027年全球将有超过40%的社会工程攻击由AI全流程驱动时，我们面对的不再是“电脑被黑”，而是整个商业信任体系的底层被悄然侵蚀。

这意味着，防御方的护城河必须从网络边界延伸到认知层。但现实是，大多数企业连员工AI安全培训都还没提上日程，更不用说用AI来实时检测语义层的社交工程攻击。

同一场洪流的两岸

把Tabbit免费化和WormGPT迭代放在同一个镜框里，我们看到的其实是同一场洪流的两岸。左岸是科技公司推动的“AI everywhere”愿景，让模型像水电网一样无处不在、随手可得；右岸是攻击者在同一片水域中更早学会了冲浪，利用便捷廉价的能力构筑起新型犯罪流水线。洪流本身没有善恶，但它会先淹没建得不够高的堤坝。

有朋友问我，这是不是意味着呼吁科技公司放慢开源和免费化的脚步。恰好相反。收紧访问权限只会让黑产转向自建模型，而合法用户被挡在墙外并不会削弱攻击者的能力——他们从不缺获取工具的渠道。真正需要做的是让防御侧的AI同样实现低成本、高普及，并且跑得更快。

我们看到一些好的苗头。已经有创业公司专门训练“反社会工程AI”，在邮件客户端本地运行时检测语义异常；也有安全团队基于开源模型开发了可私有化部署的威胁狩猎智能体，能模拟攻击者思维预判入侵路径。但这些努力还远远不够，防御方需要像美团推Tabbit那样，把AI安全能力也变成唾手可得的公共服务。

裂缝中透出的新规则

我始终相信，技术史反复印证一个规律：每一次能力的下放都会引发阵痛期，但最终会催生出更健壮的系统。当攻击性AI把传统安全护城河冲开裂缝时，正是重建下一代安全架构的时机。未来的网络安全竞争不会发生在静态的边界上，而是一场AI对AI的动态博弈——谁能以更低成本、更快速度进化认知防御能力，谁就能守住阵地。

这个转折点不会太远。也许到明年此时，我们会像今天讨论邮件过滤那样自然地谈论“AI协同免疫系统”，会习惯所有终端都内置一个对抗攻击AI的本地模型。而像Tabbit这样连接亿万用户的应用，假如在免费集成强大模型的同时，也把AI驱动的前置安全检测做成默认选项，那就真的在缝合这道撕裂的防线。

对普通用户来说，享受免费尖端AI时多留一分警惕，也许比任何技术方案都更重要。毕竟在这条洪流里，学会看清水下的暗流，才是上岸的第一步。