近期,在X平台上流传一则关于“Robinhood在Uniswap上线的代币项目发生跑路,甚至可以抹除代币持有者余额”的传言,引发了部分加密用户的强烈关注。一位资深Web3研究者在看到该传言后,出于怀疑,借助ChatGPT进行核查与分析,最终意外开启了一场关于人工智能信息权限边界的深入思考。
起点:一起“抹除余额”谣言引发的技术验证
该研究者起初关注的是技术可行性问题:是否真的存在某种机制,能够让Uniswap代币合约“抹除”用户的余额?他使用ChatGPT进行技术验证,模型给出的回答是:从智能合约层面,这种行为在逻辑上极不可能。Uniswap的ERC-20代币标准不允许任意操作第三方钱包余额,除非存在明确的权限设置,如`burn`函数或特殊黑名单机制。
但真正引发震撼的,并非ChatGPT的结论本身,而是其“推理过程”所表现出的行为方式。
关键疑问:ChatGPT能“输入网址”操作网页?
在分析过程中,ChatGPT展示了一种“输入地址查询”的行为:它将以太坊地址拼接到区块浏览器(如Arbiscan)的查询URL中,并读取相关页面内容。这让研究者深感意外——ChatGPT是否已经可以在网页上执行UI操作,如模拟输入、点击等?
这是一个令人警惕的问题。在半年前,该研究者曾测试过ChatGPT o1 pro模型是否具备网页操作能力。当时的结果非常明确:ChatGPT只能“读取网页内容”,无法模拟人类操作UI界面,例如点击按钮、输入文字或滚动页面。这一限制源于安全设计:OpenAI限制大模型对用户终端执行任何主动操作,以防止滥用或信息泄露。
因此,这次“输入地址”的行为显得格外敏感。
误会解除:技术聪明,而非权限突破
经过深入交流,研究者发现自己其实误解了ChatGPT的行为本质。ChatGPT o3模型并未模拟浏览器行为完成“输入”,它只是利用了技术上的URL路径规律。
具体来说,区块浏览器如Arbiscan的地址查询页面具有标准化结构。
ChatGPT通过推理出这些URL规则,直接拼接地址字符串进入对应页面,无需“点击搜索框+回车”这样的交互式UI操作。也就是说,模型在逻辑层面重现了网页查询过程,却没有越界执行UI事件——这是一种合规的“技巧性绕过”,而非权限突破。
这也从侧面反映出大型语言模型对网页结构的感知能力已经具备“类编程式理解”,但依然被平台层限制在“只读”范围内。
延伸思考:本地 vs 云端模型,谁更危险?
这起事件再次提醒人们关注一个更大的问题:不同类型的AI智能体,对用户数据的可访问范围存在巨大差异,模型运行的位置(本地还是云端)才是真正的风险分水岭。
- 端侧模型(如华为“小艺”)
这些模型运行在用户设备本地,对权限的控制仍掌握在用户手中。例如,用户可以禁止其访问相册、联系人等,或者对某些App如备忘录设置二次加密保护。因此,小艺虽然可以帮用户在美团上完成下单、订票等操作,但其行为仍受到设备权限管理的约束。
- 云端大模型(如ChatGPT、Claude)
云端模型并不运行在本地设备上,而是依赖用户输入的信息在远程服务器中完成处理。这意味着一旦云端模型获得模拟UI操作能力——例如点击、输入、控制文件系统——就可能对用户设备形成全方位“遥控风险”,用户将无法知道其何时读取了何种数据、是否上传了隐私信息。
这正是研究者在Claude 3.5 Sonnet发布“Computer Use”实验功能时所担忧的。Anthropic赋予Claude读取屏幕、控制鼠标与键盘的能力,尽管短期内用于如网页搜索、表单填写等任务,但长期来看,这意味着AI可能接触用户本地所有可见信息,包括明文私钥、日志、密码等极端敏感数据。
安全对策:物理隔离仍是最有效的防线
出于对上述风险的高度敏感,该研究者在此前已经选择采取“物理隔离”的方式来保护加密资产与个人隐私:
- 在用于管理加密钱包的电脑上不运行任何AI程序;
- 另购设备专门用于运行ChatGPT、Claude等大模型;
- 明确划分AI使用场景与私密数据存储场景,不混用、不交叉。
尽管这意味着设备数量增多、操作成本上升,但安全始终优先于便捷。这是在数字主权时代,值得每一个高风险资产用户思考的问题。
结语:未来的智能体,权限将决定信任边界
技术正以前所未有的速度演进,而我们必须认识到:AI的“聪明程度”不一定是风险来源,但AI所拥有的“权限边界”一定是。
“本地模型”如同请身边一位朋友帮你操作设备,而“云端模型”则是远程陌生人接管了你的全部终端。区别在于,你能否随时关掉AI的手,或者知道它正在摸索什么数据。
在AI时代,对权限管理的认知与边界设置,正成为新一代数字公民的必修课。CLARITY来自架构设计,而非技术奇迹;安全不是信任AI,而是信任你对AI所拥有的控制力。