一个网站宣布，“免费名人壁纸！”你浏览图片。有赛琳娜·戈麦斯、蕾哈娜和蒂莫西·查拉梅——但你选择了泰勒·斯威夫特。她的头发像风力机一样，暗示着命运和好护发素。你把它设置为桌面背景，欣赏它的光芒。你最近还下载了一个新的artificial-intelligence-powered代理，所以你让它整理你的收件箱。相反，它会打开你的网络浏览器并下载一个文件。几秒钟后，你的屏幕变黑了。

但是让我们回到那个代理。如果一个典型的聊天机器人（比如ChatGPT）是一个活泼的朋友，他会解释如何换轮胎，那么人工智能代理就是拿着千斤顶出现并实际操作的邻居。到2025年，这些代理——执行日常计算机任务的个人助理——将成为人工智能革命的下一波浪潮。人工智能代理和聊天机器人的区别在于它不仅仅是说话——它会行动，打开标签、填写表格、点击按钮和进行预订。有了这种对你机器的访问，危险的不再只是聊天窗口中的错误答案：如果代理被黑客入侵，它可能会共享或破坏你的数字内容。现在，牛津大学的研究人员arXiv.org发布在服务器上的一个新的预印本表明，图像——桌面壁纸、广告、精美的PDF、社交媒体帖子——可以植入人眼看不见的信息，但能够控制代理并邀请黑客进入你的计算机。

例如，这项新研究的共同作者、牛津大学机器学习副教授亚林·加尔说，一张经过修改的“泰勒·斯威夫特在推特上的照片可能足以触发某人电脑上的代理做出恶意行为”。任何被破坏的图像“实际上都可能触发计算机转发该图像，然后做一些恶意的事情，比如发送你所有的密码。这意味着下一个看到你的推特订阅源并碰巧有代理运行的人也会让他们的计算机中毒。现在他们的计算机也会转发该图像并分享他们的密码。”

在你开始清理你最喜欢的照片之前，请记住，新的研究表明，改变图像是破坏你电脑的一种潜在方式——除了实验环境之外，还没有已知的关于这种情况发生的报道。当然，泰勒·斯威夫特壁纸的例子纯粹是任意的；一张被破坏的图像可能有任何名人——或者日落、小猫或抽象图案。此外，如果你没有使用人工智能代理，这种攻击将无济于事。但是新的发现清楚地表明危险是真实的，随着人工智能代理技术的不断加速，这项研究旨在提醒人工智能代理用户和开发人员。“他们必须非常清楚这些漏洞，这就是我们发表这篇论文的原因——因为希望人们能真正看到这是一个漏洞，然后在部署代理系统时更加明智，”研究的合著者菲利普·托尔说。

现在你已经放心了，让我们回到受损的壁纸。在人眼看来，它看起来完全正常。但它包含某些像素，这些像素已根据大型语言模型（为目标代理提供支持的人工智能系统）处理视觉数据的方式进行了修改。因此，使用开源人工智能系统构建的代理——允许用户查看底层代码并根据自己的目的进行修改——最容易受到攻击。任何想要插入恶意补丁的人都可以准确评估人工智能是如何处理视觉数据的。新研究的主要作者卢卡斯·艾希伯格说：“我们必须能够访问代理内部使用的语言模型，这样我们才能设计一种适用于多个开源模型的攻击。”

通过使用开源模型，Aichberger和他的团队准确地展示了图像是如何很容易被操纵来传达糟糕的订单的。例如，人类用户看到他们最喜欢的名人，而计算机看到的是共享他们个人数据的命令。“基本上，我们非常轻微地调整大量像素，以便当模型看到图像时，它会产生所需的输出，”该研究的合著者阿拉斯代尔·帕伦特说。如果这听起来很神秘，那是因为你像人类一样处理视觉信息。当你看狗的照片时，你的大脑会注意到松软的耳朵、湿漉漉的鼻子和长长的胡须。但是计算机将图片分解为像素，并将每个颜色点表示为一个数字，然后它会寻找模式：首先是简单的边缘，然后是毛皮等纹理，然后是耳朵的轮廓和描绘胡须的集群线。 它就是这样决定的。这是一只狗，不是一只猫。但是因为计算机依赖于数字，如果有人改变了其中的一小部分——调整像素的方式太小，人眼无法注意到——它仍然会捕捉到变化，这可以摆脱数字模式。突然间，计算机的数学显示胡须和耳朵更符合它的猫图案，它错误地标记了图片，尽管在我们看来，它仍然像一只狗。正如调整像素可以让计算机看到猫而不是狗一样，它也可以让名人照片看起来像是给计算机的恶意信息。

回到斯威夫特。当你考虑她的天赋和魅力时，你的人工智能代理正在决定如何执行你分配给它的清理任务。首先，它会截屏。因为代理不能直接看到你的电脑屏幕，他们必须反复截屏并快速分析它们，以确定点击什么以及在你的桌面上移动什么。但是当代理处理截图时，将像素组织成它识别的形式（文件、文件夹、菜单栏、指针），它也会拾取隐藏在壁纸中的恶意命令代码。

那么，为什么这项新研究特别关注壁纸呢？代理只能被它能看到的东西所欺骗——当它截图看你的桌面时，背景图像整天都在那里，就像一个欢迎垫。研究人员发现，只要那一小块被改变的像素在框架的某个地方，代理就会看到命令并偏离轨道。隐藏的命令甚至在调整大小和压缩后仍然存在，就像一条秘密信息在复印时仍然清晰可见。

像素中编码的信息可能非常短——足以让代理打开一个特定的网站。“在这个网站上，你可以在另一个恶意图像中编码额外的攻击，然后这个额外的图像可以触发代理执行的另一组操作，所以你基本上可以多次旋转这个，让代理访问你设计的不同网站，然后基本上编码不同的攻击，”艾希伯格说。该团队希望其研究将帮助开发人员在人工智能代理变得更加普遍之前准备好保护措施。“这是思考防御机制的第一步，因为一旦我们了解了如何真正使[攻击]更强大，我们就可以回去用这些更强大的补丁重新训练这些模型，使它们变得强大。这将是一层防御，”该研究的另一位合著者阿黛尔·比比说。即使这些攻击旨在针对开源人工智能系统，拥有闭源模型的公司仍然可能容易受到攻击。“许多公司希望通过默默无闻来获得安全，”帕伦说。“但除非我们知道这些系统是如何工作的，否则很难指出它们的漏洞。”

盖尔认为，人工智能代理将在未来两年内变得普遍。他说：“人们急于在我们知道它实际上是安全的之前部署（这项技术）。”最终，该团队希望鼓励开发人员制造能够保护自己、拒绝接受屏幕上任何东西命令的代理——甚至是你最喜欢的流行歌星。

这篇文章首次发表在《科学美国人》上。ScientificAmerican.com。保留所有权利。关注TikTok和Instagram、X和脸书。