編譯/王明一

近年來，人工智能技術(shù)突飛猛進，人工智能產(chǎn)品開始落地應用，犯罪預防和偵查等領(lǐng)域也出現(xiàn)了人工智能應用的身影。然而技術(shù)的發(fā)展在推動科技創(chuàng)新和產(chǎn)業(yè)變革的同時，利用人工智能技術(shù)實施犯罪帶來的威脅也不容忽視。這種犯罪既可能是現(xiàn)有犯罪行為的延伸，也可能是某種新型犯罪。為充分預防人工智能犯罪的威脅、應對技術(shù)發(fā)展帶來的刑事風險，英國倫敦大學學院道威斯未來犯罪研究中心（the Dawes Centre for Future Crime at UCL）舉辦人工智能與未來犯罪研討會，邀請31 名涉及犯罪科學、計算機科學、法學等領(lǐng)域的各界專家，共同探討人工智能技術(shù)所帶來的犯罪威脅。

在研討會上，各界專家對基于人工智能技術(shù)的潛在犯罪行為進行分類分級討論?；诓煌缸镄袨榈谋举|(zhì)，專家對其進行梳理，在危害性、獲利性、可實現(xiàn)性、可抵御性四個維度對其進行評級分析，將這些犯罪行為劃歸高風險的犯罪行為、中風險的犯罪行為、低風險的犯罪行為三檔，編制成人工智能犯罪清單，并將其放在《人工智能賦能的未來犯罪》一文中。本文即對編制而成的人工智能犯罪清單進行梳理介紹。

一、高風險的犯罪行為

（一）音視頻造假行為

人類總是傾向于相信親眼所見或是親耳所聞的事情，盡管圖片造假技術(shù)已經(jīng)出現(xiàn)許久，人們?nèi)詫τ谝暵犢Y料這一證據(jù)類型給予法律上的高度信任。近年來，深度學習技術(shù)（Deep Learning）的發(fā)展，特別是生成式對抗網(wǎng)絡技術(shù)（GANs）的發(fā)展，使得深度偽造技術(shù)（Deepfake）走入臺前。如今已經(jīng)出現(xiàn)了按照既定程序生成令人信服的虛假內(nèi)容的技術(shù)，預計在不久的將來，交互式生成虛假內(nèi)容的技術(shù)也會應用。與會專家們設想了深度偽造技術(shù)利用人們對于音視頻的隱形信任而帶來的各種犯罪問題：在視頻通話中冒充子女對老年人實施詐騙犯罪；利用虛假語音解鎖安全系統(tǒng)；生成公眾人物的虛假視頻操縱輿論等。在所有人工智能帶來的犯罪類型中，音視頻深度偽造帶來的犯罪被列為最受關(guān)注的犯罪類型，在四個方面的得分都很高。雖然研究人員已經(jīng)在深度偽造算法檢測方面取得了一定的成就，但打擊這一犯罪類型仍舊十分困難。虛假內(nèi)容一旦生成，就會不受控制通過諸多途徑迅速傳播。因此，改變公眾對于音視頻的無條件信任或許是抵御犯罪唯一的方法。另一方面，這種犯罪行為也會導致受害人對真實視頻證據(jù)信任度的降低，這是其帶來的間接社會傷害。事實上，哪怕一小部分視頻證據(jù)被證實是徹底的虛假內(nèi)容，對于真實視頻證據(jù)的抹黑就會變得極其容易，這是對刑事訴訟程序以及依賴于視聽信任的政治和社會機構(gòu)可信度的破壞。利用音視頻造假進行犯罪的獲利性低，這并不是因為此種犯罪的犯罪成本高，而是因為音視頻深度造假犯罪更容易針對自然人而非公司。另一方面，這種犯罪獲利性低的原因也在于針對社會的音視頻深度造假犯罪目的并不在于獲取利益，而是旨在產(chǎn)生輿論、政治等多重影響。

（二）自動駕駛汽車作為武器使用

長期以來，汽車既被用于炸藥的運輸媒介，又被用作實施恐怖主義犯罪的動能武器（kinetic weapons），后者近年來日益普遍。在大多數(shù)國家，汽車比槍支和爆炸物更容易獲得，那些零散單獨行動的恐怖分子可以利用汽車作為動能武器，以較低成本實施恐怖襲擊。雖然由人工智能控制的完全自動駕駛汽車還未面世，但眾多汽車制造商和科技公司已經(jīng)在推動該種車輛的生產(chǎn)進程，其中有些公司已經(jīng)著手道路測試。此外，停車輔助、車道引導等有限自動駕駛功能已經(jīng)十分成熟。總而言之，自動駕駛汽車可以使得單個恐怖分子實施多次汽車恐怖襲擊，恐怖分子甚至可以借助自動駕駛技術(shù)在一次性協(xié)調(diào)多輛汽車的同時發(fā)動恐怖襲擊，從而擴大恐怖襲擊的范圍。當然，自動駕駛汽車肯定會配置安全系統(tǒng)防止上述情況發(fā)生，這或許會增加恐怖襲擊的犯罪成本，但與會專家們?nèi)匀徽J為上述恐怖襲擊具有高度可實現(xiàn)性和危害性，并且犯罪成本相對較低。但另一方面來說，預計到交通障礙，以及傳統(tǒng)有人駕駛汽車較高的保有量，利用自動駕駛汽車實施的犯罪是相對容易抵御的。

利用深度偽造技術(shù)生成的“英國女王圣誕文告”視頻截圖

（三）定制的網(wǎng)絡釣魚

網(wǎng)絡釣魚（Phishing）是一種社會工程學（Social Engineering）的網(wǎng)絡攻擊方式，其通過發(fā)送大量聲稱來自銀行或其他知名機構(gòu)的欺騙性垃圾郵件，引誘收信人給出敏感信息或欺騙其安裝惡意軟件。攻擊者會利用受害者的信任說服他們執(zhí)行私密操作，例如輸入密碼或點擊可疑鏈接。除了魚叉式網(wǎng)絡釣魚（Spear phishing）針對特定目標進行攻擊外，目前主流的網(wǎng)絡釣魚都是對不特定目標的攻擊。它們利用熱點事件拼湊出博人眼球的消息，吸引對其偶感興趣的部分用戶。攻擊者以低成本的方式發(fā)送大量垃圾郵件，將低響應率轉(zhuǎn)化為實際的利益。在網(wǎng)絡釣魚中，人工智能可以被用來制作看似更加真實的垃圾郵件。例如：（1）通過從社交網(wǎng)絡中收集信息訓練模型來偽造出更為可信的行文風格，借此提高網(wǎng)絡釣魚的成功率。（2）通過人工智能的參與，魚叉式網(wǎng)絡釣魚可以根據(jù)每個人的特定漏洞，向收信人針對性發(fā)送信息。（3）人工智能可以主動學習發(fā)現(xiàn)“什么是有效的”，即收集受害方的反映并針對性改變信息的細節(jié)。由于網(wǎng)絡釣魚攻擊的目的通常是為了獲取經(jīng)濟利益，因此該類犯罪類型危害性僅高于平均水平，但其可實現(xiàn)性較高，且受害人損失不易追回。

（四）針對人工智能工控系統(tǒng)的攻擊

隨著人工智能技術(shù)在政府、企業(yè)和家庭中使用量的增加，人工智能系統(tǒng)的角色變得越來越重要，針對人工智能工控系統(tǒng)的攻擊將會倍增。這一系統(tǒng)的部署通常是為了效率和便利而非安全性，并且其也不會被先驗地視為關(guān)鍵信息基礎(chǔ)設施。與會專家們可以預見，針對人工智能工控系統(tǒng)的破壞將會導致大范圍的電力故障、交通堵塞或食品物流中斷，隨之而來的是更多犯罪和恐怖襲擊。因此負責公共安全、金融交易的人工智能系統(tǒng)將會成為關(guān)鍵目標。這種犯罪類型的危害性、可獲利性都很高。此外，控制系統(tǒng)越復雜，完全防御就越困難，因此足夠先進的人工智能系統(tǒng)似乎天生就容易受到精心定制的攻擊。但從另一方面來說，針對人工智能工控系統(tǒng)的攻擊其可實現(xiàn)性并不高，因為這種攻擊通常需要詳細的知識，甚至需要在攻擊前實地訪問所涉及的系統(tǒng)，這通常很難實現(xiàn)。

（五）人工智能技術(shù)下的大規(guī)模勒索攻擊

傳統(tǒng)勒索是指以公開個人隱私、犯罪證據(jù)等威脅對受害者進行勒索，只有當受害者支付勒索贖金比行為人獲得個人隱私的成本高時，勒索犯罪才是值得的，這也是傳統(tǒng)勒索沒能大規(guī)模發(fā)生的原因。但是人工智能技術(shù)可在更大規(guī)模內(nèi)以較低的成本收集信息，進而突破這一限制，使得勒索犯罪大規(guī)模發(fā)生。例如人工智能可以從社交媒體或電子郵件、瀏覽器瀏覽歷史、硬盤內(nèi)容、通話內(nèi)容等層面收集消息，經(jīng)過識別分析后針對性定制威脅消息。如同網(wǎng)絡釣魚一樣，利用人工智能進行大規(guī)模勒索的獲利很高，這種“規(guī)模經(jīng)濟”意味著只需要低命中率即可獲利。這種犯罪類型難于偵破，很大程度上它與傳統(tǒng)勒索案件存在相同的原因，即受害者不愿站出來面對曝光。由于大規(guī)模勒索僅針對個人，因此這種犯罪的危害性僅為中等。此外，由于大規(guī)模勒索的數(shù)據(jù)量要求較高，并且需要行為人協(xié)調(diào)使用多種不同的人工智能技術(shù)組合，因此其可實現(xiàn)性較低。值得注意的是，在當前的網(wǎng)絡釣魚中，簡單粗暴的非人工智能模擬勒索十分常見，這種勒索行為被稱為“性勒索”。勒索者會向大量用戶隨機發(fā)送消息，謊稱擁有其被黑客攻擊電腦中的有害視頻。一些用戶會相信這一謊言，并出于惶恐而付款。與會專家并不知道它的成功率有多少，但直觀認為這一數(shù)字并不高。

（六）人工智能撰寫假新聞

假新聞是一種借助可信來源或者看似可信來源提高其可信度的虛假信息。數(shù)量龐大的假新聞還能混淆視聽，轉(zhuǎn)移人們對真實信息的注意力。與會專家們一致認為，人工智能可通過生成多個版本的特定內(nèi)容，提高假新聞的可信度。此外，其還可以個性化選擇內(nèi)容或呈現(xiàn)方式，以提高假新聞的影響力。該類犯罪在危害性、可實現(xiàn)性和可抵御性方面得分均高于平均水平，在獲利性方面得分低于平均水平。危害性方面得分高的原因在于，人工智能撰寫的假新聞被認為有影響特定政治事件的巨大潛力。而且，如果真實新聞被假新聞的傳播破壞或取代，就會產(chǎn)生廣泛的社會影響。打擊假新聞被認為是一個十分困難的專業(yè)技術(shù)問題，因為假新聞和真實新聞之間的界限是模糊的。截至目前，打擊假新聞最成功的嘗試是通過教育予以打擊。在獲利性維度，盡管有利用假新聞操縱市場的可能，但總體而言，借助假新聞犯罪謀取利益是困難的。假新聞因其廣泛的后果會對社會帶來不確定的影響。

英國鐵路遭勒索攻擊，導致自助售票系統(tǒng)癱瘓

二、中風險的犯罪行為

（一）軍用機器人

與許多技術(shù)領(lǐng)域的發(fā)展進程一樣，軍方在機器人技術(shù)的發(fā)展歷史中也有濃墨重彩的一筆。雖然軍用機器人與民用機器人在很多技術(shù)方法上存在重疊，但其應用對象與民用用戶完全不同。犯罪團體或恐怖組織獲得的任何軍事產(chǎn)品（例如槍支或爆炸物）都有可能構(gòu)成嚴重威脅。部署在戰(zhàn)場的軍用機器人倘若被用于犯罪，帶來的危害更是不可想象。然而軍事能力往往是保密的，外界對當下軍用機器人的技術(shù)水平和發(fā)展速度知之甚少，因此對于軍用機器人的犯罪危害性評級也不能苛求其精準性。

軍用遠程作戰(zhàn)機器人

（二）“萬能靈藥”騙局

所謂“萬能靈藥”騙局源自一個犯罪分子向政府和軍隊出售昂貴“顛覆性產(chǎn)品”的典故，其聲稱該技術(shù)是解決國家治理和國防的“萬能靈藥”，事后卻被證明是偷梁換柱的騙局。如今，人工智能時代的“萬能靈藥”騙局是指打著“人工智能技術(shù)”或“機器學習技術(shù)”的旗號出售虛假服務的詐騙活動。從嚴格意義上講，這并不是一種將人工智能用于犯罪的特定類型，但這一騙局能否成功取決于受騙者是否相信其聲稱的人工智能能力，成功實施的騙局又讓公眾陷入對人工智能技術(shù)的認知誤區(qū)，造成惡劣的社會影響。但“萬能靈藥”騙局并非不可破解。通過開展人工智能教育、在購買人工智能產(chǎn)品前加強調(diào)查可讓“萬能靈藥”不攻自破。

（三）數(shù)據(jù)投毒

人工智能數(shù)據(jù)投毒活動本質(zhì)上是指干預深度學習訓練數(shù)據(jù)集、降低模型準確性，使其輸出錯誤信息或帶有偏見信息的一種犯罪活動。數(shù)據(jù)投毒的目的可能是為了損害人工智能領(lǐng)域的商業(yè)競爭對手，針對社會發(fā)布誤導的政治言論或散布公眾不信任。對人工智能生成的信息信任度越高，數(shù)據(jù)投毒帶來的危害性就越大。盡管數(shù)據(jù)投毒危害性大且有利可圖，但其可實現(xiàn)性較低，因為在當下的人工智能研發(fā)中，深度學習的訓練數(shù)據(jù)均具備難以篡改的可信的來源。在模型調(diào)試中數(shù)據(jù)集也會受到多方監(jiān)管和審查，因此數(shù)據(jù)投毒可實現(xiàn)性較低。

（四）基于深度學習的網(wǎng)絡攻擊

現(xiàn)有的網(wǎng)絡攻擊要么是十分復雜且僅針對特定目標的特定網(wǎng)絡攻擊，要么是十分簡陋但高度自動化、依賴于龐大數(shù)據(jù)量的規(guī)模網(wǎng)絡攻擊，如分布式拒絕服務攻擊（distributed denial of service attacks）、端口掃描（port scanning）等。人工智能勾畫了特定網(wǎng)絡攻擊和規(guī)模網(wǎng)絡攻擊相結(jié)合的可能性，例如，用于網(wǎng)絡攻擊的人工智能技術(shù)，在同時發(fā)起多個攻擊前，可以通過使用強化學習的方法，并行探測多個系統(tǒng)的弱點。盡管與會專家并不能確定這種網(wǎng)絡攻擊的現(xiàn)實可行性，但一致認為這種攻擊方式危害性、獲利性都很大。

（五）自主攻擊無人機

由無線電遠程控制的非自主無人機已經(jīng)被用于犯罪活動，而自主攻擊無人機可借助人工智能技術(shù)提高攻擊的協(xié)調(diào)性和復雜性，行為人也可擺脫無人機的無線電控制距離，從而使犯罪偵查和逮捕犯罪嫌疑人變得十分困難。雖然目前無人機并不用于暴力犯罪，但質(zhì)量過硬、動能優(yōu)秀的無人機存在被用于特定目標犯罪的潛在風險。此外，無人機還可以加掛武器。如果無人機以蜂群方式發(fā)動攻擊，它們的危害性可能變得非常高。雖然自主攻擊無人機的潛在危害性非常高，但在較多情況下使用物理屏障即可抵御這種攻擊。

（六）欺騙性人臉識別

人臉識別人工智能系統(tǒng)被越來越多地應用于智能手機、筆記本電腦等設備上，并被用于登錄驗證、商業(yè)交易等場景中。警方和國家安全部門也在測試利用人臉識別人工智能技術(shù)提高公共場所追蹤犯罪嫌疑人的效率，并將這項技術(shù)應用于加快國際邊境旅客檢查速度。這項技術(shù)對犯罪分子來說十分有吸引力，針對人臉識別人工智能系統(tǒng)的攻擊已經(jīng)被證明可以成功實施，例如多人使用同一張照片騙過人臉識別系統(tǒng)。因為犯罪規(guī)模等原因，該項犯罪的獲利性和危害性都被認為低于平均水平。

三、低風險的犯罪行為

（一）算法偏見

算法偏見十分常見，例如，視頻網(wǎng)站廣告推薦算法可以向觀眾針對性投放廣告，搜索引擎的競價排名算法可以用來提高產(chǎn)品形象或詆毀競爭對手的產(chǎn)品。上述算法可能違反提供商的服務條款，但這種行為已經(jīng)十分普遍，并通常被認為不屬于違法行為。在某些地區(qū)，上述行為甚至打著搜索引擎優(yōu)化的名義，堂而皇之地將其冠以合法在線商業(yè)模式的帽子。倘若加入人工智能技術(shù)的輔助，可能使這一行為更容易使用，且更難預防。

（二）盜竊機器人

小型自動機器人可以通過信箱或者貓門等小型接入點進入室內(nèi)，并從室內(nèi)取出鑰匙或打開門讓竊賊進入。倘若技術(shù)不被嚴格限制的話，這種小型機器人將比大型的自主機器人容易實現(xiàn)。但受制于小型機器人本身的規(guī)模，這種利用小型機器人進行盜竊犯罪的危害性和獲利都很低，而且相對來說可以通過簡單的物理手段來抵御這種犯罪。

（三）人工智能撰寫虛假評論

人工智能可被用于為購物或點評網(wǎng)站自動生成評價內(nèi)容，從而為公眾留下該產(chǎn)品或服務錯誤的印象，并促使?jié)撛诳蛻暨x擇或者放棄購買產(chǎn)品或服務。這種造假行為已經(jīng)被應用于現(xiàn)實，但與會專家認為這種行為的獲利或危害可能是小規(guī)?；蚓植康?。

打擊治理人工智能犯罪宣傳畫

（四）人工智能輔助跟蹤

人工智能可被用于監(jiān)控個人的位置和活動。人工智能還被認為可用于與脅迫關(guān)系、家庭虐待、煤氣燈效應有關(guān)的一系列犯罪。人工智能輔助跟蹤造成的犯罪，其危害被評價為低等級。這并不是因為這些犯罪沒有破壞性，而是因為它們本質(zhì)上專注于單個個體，沒有大規(guī)模運作的空間。

（五）偽造犯罪

人工智能技術(shù)可被用于生成繪畫、音樂等藝術(shù)作品，使用者可能會聲稱是他們自己創(chuàng)作了這些作品，并以作者的身份拍賣這些人工智能生成的藝術(shù)品獲利。無論是從危害性還是從可實現(xiàn)性來看，這一威脅被認為是所有威脅種類中最不值得擔心的。雖然人工智能技術(shù)現(xiàn)在可以生成圖畫作品，但這些圖畫基本都模仿了已知的著名畫家的視覺風格，能夠較為容易識別出并非使用者本身的原創(chuàng)作品。從另一方面來說，幾個世紀以來，藝術(shù)界已經(jīng)有了廣泛的應對偽造品的實踐，足以抵御人工智能帶來的偽造品牟利的威脅。

自2019 年至今，人工智能技術(shù)呈現(xiàn)蓬勃發(fā)展的態(tài)勢，ChatGPT、GPT-4 開始落地應用，世界各國加緊人工智能技術(shù)的研發(fā)應用進程，技術(shù)的演進也使得上述人工智能犯罪類型逐步走入現(xiàn)實。利用人工智能技術(shù)實施音視頻造假、自動駕駛汽車攻擊、算法偏見等行為已經(jīng)成為當前熱點，人工智能政策也從構(gòu)建以“軟法”為導向的社會規(guī)范體系逐步邁向以“硬法”為保障的風險防控體系。2021 年，英國相繼發(fā)布《算法透明度標準》《自動化決策的倫理、透明度和可責性框架》《國家人工智能戰(zhàn)略》，在促進技術(shù)發(fā)展的同時，也推動健全完善人工智能監(jiān)管體系。2023 年3 月，英國發(fā)布《人工智能和數(shù)據(jù)保護指南》，要求確保采取必要措施，評估和管理人工智能對權(quán)利和自由構(gòu)成的風險，初步建立起以風險為基礎(chǔ)的監(jiān)管思路。同時，該指南要求提供審核人工智能應用程序的明確方法，確保人工智能應用程序公平、合理透明地處理個人數(shù)據(jù)。人工智能監(jiān)管治理逐步走深走實，消除風險、推動發(fā)展成為人工智能監(jiān)管研究的重點。