事件背景
2026 年,谷歌推出來電詐騙偵測功能,識別 AI 生成的假聲音與冒充電話。這個防禦工具的出現,恰恰反映了一個更深層的現象:詐騙手法的升級速度比防禦工具更快。
防禦的惡性循環
當人們學會拒接陌生號碼後,詐騙犯沒有消失,他們改變了遊戲規則——冒充受信任的號碼(親人、銀行、雇主),並用 AI 語音合成技術克隆聲音。這不是簡單的改進,而是整個攻擊模式的架構重組。
谷歌的偵測器能識別某些 AI 生成語音的統計特徵(如頻率不自然、轉音邊界的數位痕跡)。但這只是短期的勝利。一旦防禦邏輯被公開、被競對研究,攻擊者就會用對抗性機器學習(adversarial ML)製造「騙過偵測器的聲音」。
軍備競賽的本質
Bruce Schneier 在《应用密码学》與《安全即幻覺》中強調:安全不是目標,而是過程。防禦與攻擊之間沒有終點,只有不斷的迭代。
歷史上的例子無處不在: - 郵件反垃圾:垃圾郵件過濾器越精密,垃圾郵件製造者的繞過技巧就越高明(域名偽造 → URL 混淆 → 圖片文字 → 機器學習繞過) - 信用卡詐騙:銀行推出 3D Secure,詐騙犯改用 SIM 卡交換盜取 OTP;銀行推出生物特徵認證,詐騙犯改用物理脅迫 - 惡意軟體:防毒軟體廠商推出簽名偵測,病毒製造者改用多態病毒;推出行為分析,改用沙箱規避技術
在 AI 語音克隆領域也不例外。谷歌的偵測器只能識別今天的 AI 聲音,無法識別明年用對抗性訓練製造的、刻意繞過偵測器的聲音。
防禦的成本悖論
軍備競賽最殘酷的部分是不對稱的經濟性。防禦方(科技公司、銀行)必須服務數十億用戶,每項防禦都要考慮可用性;攻擊方只需找到一個薄弱點、一次成功的詐騙就能回本。
詐騙集團用 $500 的開源 AI 語音模型 + $200 的算力成本,就能生成難以區分的聲音。谷歌推出偵測需要動員數百名工程師、投入數百萬美元研發,最後只能檢測出 95% 的假聲音——永遠有 5% 漏網。
這不是谷歌無能,而是防禦方面臨的根本困境:你無法製造一個「完美」的偵測器,因為攻擊方可以無限接近完美的規避。
真正的防禦在於制度
虛假來電偵測工具有用,但它不是終極解決方案。真正有效的防禦是: 1. 制度層面的障礙(如強制 STIR/SHAKEN 來電驗證標準、法律懲罰) 2. 社會層面的認知(教育用戶不要相信來電、改用其他驗證方式) 3. 經濟層面的提高成本(大規模逮捕詐騙集團、追蹤加密貨幣流向)
但這些防禦都超出了單一科技公司的掌控範圍。谷歌能做的,只是永遠在軍備競賽中追趕,永遠知道自己總有一天會被超越。
啟示
對於任何依賴檢測機制的安全系統(垃圾郵件過濾、詐騙偵測、入侵檢測、惡意軟體識別),都應該有清晰的認知:偵測器不是防禦,而是延遲。它延遲了攻擊成功的時間,但無法阻止攻擊本身。
真正的安全來自於降低攻擊的誘因、提高攻擊的成本、以及設計出本身就不容易被攻擊的系統(如無密碼認證、端對端加密、零信任架構)——而不是寄望於一個更聰明的偵測器。