AI信息安全警钟：从「Robinhood代币跑路」谣言探讨本地与云端智能体的权限边界

近日，我读到一条X.com帖子，称robinhood在uniswap上的股票代币化项目被曝跑路，并声称能够将持有代币地址的余额抹除。出于对该事件真实性的怀疑，我决定通过chatgpt进行调研。

chatgpt给出了类似的判断，认为这种抹除余额的描述不太可能实现。然而，真正让我惊讶的是chatgpt的推理过程——它在区块浏览器上“输入”了一个以太坊地址，查看了该地址的历史交易记录。

这里的“输入”并非真正模拟了UI操作，而是chatgpt通过发现arbiscan.io页面URL生成规律（如https://arbiscan.io/tx/<hash>或/address/<addr>），直接拼接地址后访问页面并读取信息。这一技巧令人惊叹，但也引发了我对AI权限边界的深入思考。

半年前，我曾使用chatgpt o1 pro模型调研过类似功能。当时，我尝试让其通过区块浏览器查询创世块地址未转出余额，但chatgpt明确拒绝，理由是安全性设计限制了对网页执行UI操作的能力。例如，taobao.com上用户可以登录、搜索商品，但chatgpt无法模拟点击、滑动或输入等动作。

然而，近期一些国产手机终端上的AI助手（如华为的小艺）已经具备了类似权限，能够帮助用户完成订票、下单等复杂任务。这不禁让人担忧：如果AI能帮你下单咖啡，是否也能读取你的微信聊天记录？

对于运行在本地的端侧小模型，我们尚可通过权限管理来阻止其读取敏感信息，例如禁止访问相册或加密特定app。但对于像chatgpt和claude这样的云端大模型，一旦获得模拟UI操作权限，风险将显著增加。这些模型需要随时与云端服务器通信，屏幕上的信息几乎不可避免地会上传至云端。

换句话说，端侧小模型如同请一位电脑高手帮忙操作手机，而云端大模型则相当于有人远程接管了你的设备。两者的安全边界截然不同。

尽管此次chatgpt并未突破禁止模拟UI操作的限制，但它展现出的能力提醒我们，在安全要求高的场景中，必须谨慎对待AI的权限设置。宁可多配备一台隔离设备，也不能让云端大模型运行在存有私钥的电脑上。

最终，我们需要认识到：“模型运行在哪”比“模型有多聪明”更能决定安全边界。