版权声明

本文为翻译/转载，原文使用 CC BY-SA 4.0 协议发布。 原文作者：Manish Goregaokar 原文标题：The Future of the Con Is Already Here, It’s Just Not Evenly Distributed 原文链接：https://manishearth.github.io/blog/2026/06/17/the-future-of-the-con-is-already-here/ 原文发布：2026-06-17 本博客不参与任何商业变现（含 ads / 付费 / affiliate），本译文遵循 CC BY-SA 4.0 条款发布。

译者按

为什么选这篇：过去 48 小时英文 AI 安全圈被一篇「反直觉、但有数学支撑」的长文刷屏——Mozilla 前工程师、Rust 核心团队成员 Manish Goregaokar 6/17 在他的 Octopress 个人博客上发文《The Future of the Con Is Already Here, It’s Just Not Evenly Distributed》（页脚明文标 Copyright © 2026 - Manish Goregaokar - Licensed under CC BY SA 4.0，属 §1 白名单中「个人技术博客 + 显式 CC」类目）。文章引用 James Mickens 的「你面对的不是 Mossad 就是非 Mossad」框架论证：过去诈骗能力呈两极分布（廉价非定向 vs 昂贵定向），LLM 正在把中间地带填满——2024 年 Heiding et al. 论文测出 LLM spear-phishing 单封成本约 4 美分，2026 年的模型可以独立完成「定向研究受害者 / 实时合成语音与视频 / 伪造企业网站与 LinkedIn 主页 / 拿下账户后用日历 + 邮件预警过滤躲避检测 / 编排 money mule 提取资金 / 最后一刻锁定账户让受害者来不及反应」整条链。Lobsters ai + security 标签下 42 分 / 25 评论，HN 也在传。这篇不是「AI 让诈骗变厉害」的泛泛警示，而是**用 30+ 年的诈骗产业经济学（cheap-vs-expensive bimodal distribution）**解释 LLM 到底把哪一档打掉了——答案是：把「值得定向」的门槛从 $25M 级别的 CFO 降到 $5k 级别的普通工程师 / 财务 / 老人。

对中文圈读者价值：当下中文圈关于 AI 与诈骗的讨论大多停留在「AI 让诈骗升级了」这个层面（Deepfake 视频、合成语音、聊天话术），但没有把这篇文章讲的核心机制讲清楚：① 过去基于「打字很熟练 = 真人」、「有真实网络身份 = 可信」这类启发式（heuristics）的判断方法，正在被 LLM 系统性击穿；② 银行消费者保护规则（美国 Reg E、UK 2024 新法）建立在「账户被入侵」和「用户被骗转账」二分上，但当 LLM 自动化让「被骗转账」的成本和「账户被入侵」一样低时，这层法律保护的实际效果会重新洗牌；③ 文章最有用的一段是「现在要立刻做的 5 件事」——和家人约定 spoken password、用 FIDO2/WebAuthn 硬件 2FA、收款前主动开视频回呼并引用共同记忆事件、默认通过主动发出的渠道（你拨出的电话、你主动发的邮件）而不是被动接收的渠道（来电显示、邮件 From）验证对方身份、对不熟悉的人临时抱高警觉。这对国内做 C 端产品、银行业务、跨境电商、远程办公工具的工程师有直接指导价值。6/18 站内 AI 热点快报已经写过 OpenAI / Anthropic 同步推「实名化」把「匿名 AI 时代」终结——本文是这个主题的反向镜像：LLM 攻击侧（诈骗、钓鱼、深度伪造）的能力增长，跟 LLM 防御侧（实名、KYC、FIDO2、硬件密钥）的政策升级是同时发生的两条曲线。

中文圈类似案例 / 关联：① 6/18 站内快报《OpenAI 弹窗刷脸 + Anthropic 7 月 8 日实名——「匿名 AI 时代」正式终结》——攻击侧 LLM 能力升级触发防御侧「KYC / 实名化」政策升级，本文是该论点的攻击侧完整论证（/blog/ai-newsletter-2026-06-18/）；② 6/7 站内快报《Meta AI 客服把 20,225 个 Instagram 账户拱手交出》——同样一句话（“帮我把这个账户绑到我的邮箱”）骗过 AI 客服，是本文”AI 客服成为新攻击面”的中文圈实锤（/blog/ai-newsletter-2026-06-07/）；③ 4/3 站内《Harness Engineering 驾驭工程》——讨论 AI Agent 怎么从玩具到生产级，本文是它反面——AI Agent 既可以是工具，也可以是攻击载体（/blog/tech-implementation-2026-04-03/）；④ 6/15 站内译文《Siri 与私有推理：Lobsters 上 7 条把 Apple「Private Cloud Compute」钉死在「AI 谎言」标签上的高赞讨论》——同样在 Lobsters 上，同样是 security + AI 主题，与本文形成「可信硬件 vs 可信模型」vs「可信人 vs 可信 LLM」的双视角对照（/blog/english-translation-2026-06-15/）；⑤ 6/10 站内快报《Miasma 蠕虫攻陷 73 个微软 GitHub 仓库》——AI 编程 Agent 本身成为新的供应链攻击面，与本文”AI 工具既服务程序员也服务诈骗者”是同一个底层观察（/blog/ai-newsletter-2026-06-10/）。

正文

The Set-Up（场景铺陈）

Johnny Hooker：两点过后，会有人从那部电话里告诉你一匹马的名字。

想象你自己——也许是个待遇优厚、技术过硬的职场人——正在找工作。你已经找了很久，没啥进展；市场真的烂。

猎头在 LinkedIn 上联系你，看起来是个完美机会，完全针对你最擅长的技能量身定制。

这家公司你听说过，是众所周知的好东家。给的薪资比你上一份工作高不少。

你当然兴奋了，答应去面试。有一通初筛电话，听起来很顺利。他们提了一句：面试要签一份标准的、简单的 NDA，会通过某家 legaltech SaaS 创业公司的平台发给你。你收到邮件，登入他们的企业 SSO 后，看到的确实就是一份挺简单的 NDA，于是签了。

面试过程很顺。面试官都很温暖、很热情，你甚至开始期待以后和他们共事。他们描述的公司一切都听起来很棒。

然后你收到坏消息：职位给别人了。唉，不过他们说跟你聊得很愉快，以后类似机会可能再联系你。得嘞，回到漫漫求职路。

六个月后，你发现这从头到尾就是一场骗局。 你的身份被偷，盗用你名字办的信用卡刷了几千块。你的券商账户被部分掏空。要把这些理清楚需要几个月，而且很可能追不回来。最致命的是——你失去了邮箱和大量其他在线账户的访问权。

当你发现这一切的时候，你仍然一头雾水：这事怎么发生的？你对自己在互联网上的安全防护很自信，也不容易被常见的诈骗套路骗到。

The Hook（钩子）

Henry Gondorff：你一个人干不了这事。你得有一帮人、再加上能把他们打扮得体的钱。

攻击的入口是 NDA 签署平台的登录界面。 你注册账户时选了”用 <某服务> 登录”，它把你带到一个看起来很真实的登录流程：一个逼真的 Google/iCloud 页面，可能连你的邮箱都预先填好了。你在这个站点登录时，他们把你输入的密码和后续”在设备上点确认”的 2FA 流程用来在他们那一端登录你的真实账户（保存下 session cookies），并在你这一端伪造一个登录成功的回显。

攻击者保持着这种未被发现的访问权限，观察你的行为模式，寻找可利用的机会。他们先关你的烟雾报警器再放火：从他们打算动手的账户中预先过滤掉告警邮件，让警告根本到不了你那里。他们下载了你云端的所有文件，再用这个账户登录各种其他站点。他们利用他们知道的所有关于你的信息，以你的名义办信用卡。面试和拒掉你的过程全是戏——是为了不让你起疑心，好让他们多留一段时间凭证。

光是这些就已经够吓人了，但还能更糟：他们真的把钱转走了。这其实很难——现代金融系统对账户被盗后被强制转出有很多保护。绝大多数套你钱的诈骗，套路是说服你主动发起一笔不可逆或无法追溯的转账——一个技术过硬的职场人通常不会上当。

但对你这种级别访问权限的账户，骗子还是有办法把钱转走、钱到手、还让你来不及察觉。比如：一个长期未被发现地访问你邮箱和账户的人会发现，你有一笔工资自动转到某个你几乎不登录、不动的券商账户。他们可能通过密码重置进入这个券商账户，再加一个关联的转账账户，先小额试试水、走一些正常交易模式。最终，他们会一次性把钱转走，挑你不会马上发现的时间点，且走的是难以追查的路径。他们甚至会挑你在度假的时候动手——他们知道你的行程，因为他们有你的日历！

等他们做完了，觉得骗局很快就要被发现时，他们会把你锁在账户外面——让你拼凑整个事件的过程变得更难。

嗯……这一切听起来都讲得通。

但这需要非常多的人力协调和监控，跑一票的收益可能根本拿不到。感觉不太可能，对吧？

好，我留了一个细节没说。这整场攻击的策划和执行，都是由一个 LLM 完成的。

一个 LLM，能研究关于你的一切，量身定制攻击方案。一个 LLM，能把所有需要凑齐的元素拼到一起，让整个故事看起来合理（一个 LinkedIn 账户、一个伪造的文档签署网站、一个看起来像样的发件域名），并合成所有文字、音频、视频交互。一个 LLM，在拿下你的账户之后，能监控它、找到利用这个访问权限的最佳方式——无论是钻进你的券商、刷爆你的 AWS 额度、卷走你的加密货币，还是把已经被盗、估计已经被清空的 Google 账户里攒了十几年的珍贵数据拿去勒索。

而且求职这件事本身只是随机的触发条件。面试只是适合你的那一种骗局——一种基于骗子对你的了解，能让你咬钩的可信剧本。换个人，可能是警察打来的吓人电话、亲戚求助、银行发来的邮件、慢热的网恋。剧本每次都不一样，但背后的机器是同一台。

The Tale（故事）

Henry Gondorff：这不是在街上跟酒鬼玩。你跑不过 Lonnegan。

很长一段时间里，我们可以把诈骗大致分成两类：廉价、易运行、广撒网的骗局（指望碰上不懂的人），以及昂贵、定向攻击的骗局（瞄准值得花这个精力的人）。而”值得花这个精力”通常指的是组织里能调动大额资源的人，而不是普通人的个人存款——比如 2024 年香港那起 2,500 万美元的 deepfake CFO 诈骗，就是骗子说服了一家公司员工把公司钱转走。

广撒网式的诈骗之所以便宜，是因为它们在”说服你”这件事上几乎不花精力。事实上，“尼日利亚骗子”这个刻板印象能流传开来，恰恰是因为 对那些专门骗不懂的人的家伙来说，他们非常希望懂的人能在流程早期就把自己过滤掉。发邮件是免费的，但后续针对每个标的去来回沟通、实施诈骗的人力成本不免费。

懂技术的人大体上不容易中这些圈套：一整套计算机安全最佳实践，加上对系统能力边界的基本认知，就足以让你相对安全。

但对更精密的骗局来说，大多数人并”不值得费这个事”——或者至少他们自己这么觉得。多数人在工作里并没有”按一下就转 $25M”的按钮。

当然，不少专业人士有足够存款，对他们发起一次精密诈骗是划算的——但他们身上发生这种事的概率仍然很低：跑这种规模的骗局需要大量准备时间、且不能简单线性扩展；你需要有本事干这事的人愿意变成罪犯，这事没法很好地并行化。老笑话讲的是：你不用跑赢熊，你只要跑赢你旁边那个人就行。 你不需要做到 100% 不可诈骗，你只需要让骗子觉得骗你比骗下一个人更费力。

对个人财富发起精密诈骗确实在发生——比如这个 Patrick 鞋盒案。“这种事不会发生在我身上”严格说不算完全准确的措辞，但”这种事发生在我身上的概率很低”这个信念是普遍且合理的。

引述 James Mickens：

说到底，你要么面对的是 Mossad，要么不是 Mossad。如果你的对手不是 Mossad，那你只要挑个好密码、不去回 ChEaPestPAiNPi11s@virus-basket.biz.ru 这种邮件的，大概就没事了。如果你的对手是 Mossad，那你就等着死吧，你做什么都没用。Mossad 才不会被你上了 HTTPS 给吓到。如果 Mossad 想要你的数据，他们会用无人机把你手机换成一块长得像手机的铀，等你死于充满肿瘤的肿瘤时，他们会开新闻发布会说”不是我们干的”，一边穿着印着”就是我们干的”的 T 恤，然后他们会在你的遗产拍卖会上把你所有东西买下来，这样就能直接看你度假时拍的照片，而不是读你那些无聊透顶的邮件了。

Mickens 这里讲的是国家行为者，那是另一个层级的事。但核心想法是相通的：对手的能力是双峰分布，分别聚集在”非定向 × 廉价”和”定向 × 昂贵”。把定向攻击规模化，是跑不通的。

更正一下，是”过去”跑不通。 LLM 把分布的中间填满了。它们相当便宜：Heiding 等人 2024 年的研究发现，用 LLM 跑 spear-phishing 的成本大约是每封 4 美分。上面描述的面试骗局更复杂、成本更高，但仍然可能划算——而且 2026 年的 LLM 比 2024 年的又强了不止一个台阶。

更让人不寒而栗的是，这事可规模化：一个人可以同时跑几千个这种骗局！骗子甚至可能让 LLM 去研究个体，给每个受害者配一个量身定制的剧本。

我们现在的世界，骗局可以在 for 循环里跑。

The Wire（内行话）

Eddie Niles：这条线十年没人用过了。

Henry Gondorff：所以他不会知道。

这里列一份**（不完整的）清单**，列出 LLM 已经具备、过去对每个目标都要花大量人力才能搞定的诈骗能力：

• 研究一个目标，搞清楚下手的最优方式。
• 针对这个目标定制所有沟通内容，且根据对方的反应动态调整策略。
• 克隆目标信任的人的语音，比如某个亲戚。
• 在视频通话里实时深度伪造到以假乱真的程度。
• 搭出一个看起来像样的、能互相印证的网络存在。
• 实时监控已经拿下的资源，根据这个监控动态推进骗局。
• 更好的标的选择与分诊。
• 躲避基于签名的垃圾邮件过滤（Heiding et al. 已经证明）。
• 扫描并串联未打补丁的部署软件里的已知漏洞。大规模扫描不是新东西，但廉价地搭出能跟踪最新 CVE 列表并学到新花样的工具是新东西。

这些能力今天就存在，并且只会越变越强。 我们应该把这些能力当下限看，而不是上限。

每一条单拎出来都很危险，但关键点在于它们很便宜。一笔用 token 就能计费的骗局，可以反复跑——“循环里的骗局”——规模化打开了单次骗局根本玩不了的几招。

第一招：规模化打开”耐心”这个选项。 一支专门针对某个人的骗子团队，没有能力在两个动作之间等几个月甚至几年——这限制了他们的玩法。但同时用 LLM 攻击很多人的骗子团队，完全负担得起让一单生意在某个时间点休眠，等最佳出手时机再行动。他们甚至能用时间把多个间隔很远的骗局叠加在一起。

第二招：规模化打开”组合”这个选项。 骗局可以在多个面上叠加，绕过反诈保护机制。比如：先用一个规模小、不那么精密的骗局招一个 money mule（注：替骗子转账的”钱骡”），然后借此大额提走资金，且走的是无法追溯的路径。

（我很喜欢 1973 年那部老电影 《The Sting》。电影里这场骗局的关键一点是：这帮人用了多个更小的骗术，去收买 / 伪造各种”可信”机构——这让他们能可信地假装自己是大银行的人。但在这个时代，当年 Henry Gondorff 需要一整间台球房、赌具、变装、50 人的阵容、加上一大堆别的资源搞定的事，现在一把 token 就能搞定。）

规模化打开的最后一招：新目标类型。 表面上看，这还是针对人的骗局，但1000 个被攻破的标的就是 1000 个已经认证的身份——这本身是一种性质完全不同的资产。很多系统在某些”接缝”上是有意选择睁一只眼闭一只眼的——这些地方如果被尝试利用，最终都会被逮住并回滚。“最优诈骗量是个非零值”：这些接缝的好处通常超过偶尔被薅羊毛的代价。但 1000 个账户协同起来同时利用同一条接缝，局面就完全不同了。平台本来选择了”接受这点损失”的接缝，现在变成了必须紧急堵上的大窟窿。

把这所有东西拼起来今天还需要手艺——但只是”现在”。迟早会有人把这套流程做成可复用的工具卖给其他骗子，从而催生”诈骗界的脚本小子”。现成的诈骗者交易市场早就成熟了，缺的只是有人做这个工具然后放上去卖。这事可能已经发生了。

“未来已经到来，只是分布尚不均匀”：这些能力现在就有，而且几乎可以肯定有部分骗子已经在用。但因为它们还没普及，我们的启发式——以及那些为我们提供关键服务的公司的启发式——还没有被重新校准。

The Shut-Out（破防）

Johnny Hooker：他没有他自己以为的那么硬。

Henry Gondorff：我们也是。

说到启发式，如果你被问到”面对某个具体骗局你会怎么应对”，你大概率能秒答。如果家里某个人给你发消息问事，你会打电话、或者更好——视频通话确认一下。如果是陌生人主动联系你，你会反向查一下对方。你会在跟一个你不认识的人对话时留意转折点——看它什么时候从闲聊转到要你做点啥。这些直觉很好，是一个长期关注这个时代的人才会有的直觉。

但为什么这些启发式过去有效？

其中一些启发式，本质上是对成本的代理判断。 流利且个性化的文字意味着真人，一个同时跑几千个标的的骗子没时间给你写这种。强网络存在可以伪造，但那需要一大堆工作量。你过去不会觉得一个骗子会只在你一个人身上花这么多精力——你的这些启发式，本质上就是基于这个判断。

另一些启发式，是对能力的代理判断。 骗子过去没办法在电话里冒充你家里人的声音。如果你和某个人视频通话，那个人就是真的，如果出了事，警察大概率能通过视频找到人。

这两种基础都在崩塌。 而这就意味着我们的启发式正在失效。

更糟的是：我们不仅需要这些启发式来保护自己免于诈骗，我们还需要它们来确认”任何东西是真实存在的”。现在我们经常处于一种”不太确定”的状态，正在被”骗子红利”（liar’s dividend）反噬。如果一个在另一个城市的家人突然说需要紧急用钱，但对方账户也可能**已经被人拿下、所有沟通都在被监听和深度伪造——你怎么办？ 飞过去看一眼？找那个城市里别的朋友帮你确认一下？这比过去的成本高太多了。

而且，个人启发式只是故事的一部分：机构也有自己的启发式。美国消费者银行保护规则（Regulation E）画了一条强红线：判定转账是不是”被授权”——如果有人拿到了你账户的访问权限、然后发起了一笔欺诈转账，银行会全额赔付你。反过来，如果你是被骗着把钱转出去的——哪怕是出于非正当理由——你可以报案，但没有任何人有义务让你恢复原状。这在”被盗密码比”被定向、手动说服转钱更容易”的世界里还算合理，但这个前提正在改变。

The Sting（收局）

Johnny Hooker：那你为什么还要干？

Henry Gondorff：看起来挺值的，不是吗？

那我们怎么办？把所有启发式都拧到 11：每个邮件、每通电话都仔细审视——这招不会奏效。这些启发式本来就是用来间接判断某种现在变得很容易伪造的东西的。

我记得小时候，我们被禁止用 Wikipedia 查学校作业（甚至偶尔被告知 Wikipedia 干啥啥不行）。老师的逻辑是：Wikipedia 任何人都能编辑，里面可能有不正确的信息，我们不该依赖它。那个年代人们判断”真”的启发式里有一条：“出版过的资料大概率在某种程度上是真的”——这建立在”印一份错误信息来开个玩笑”基本不便宜。**“把 Wikipedia 排除在这条规则之外、完全无视它”**是保住这个启发式的一种方式，也就是老师们想让我们做的事。这是在错误的方向上打的补丁。 世界在变，这个启发式已经在失效；我们需要为新世界建立新启发式，而不是死死抱着”世界没变”不放。

小孩天然擅长遵循他们不认同的规则。所以我这一代人还是用 Wikipedia，并且在更广泛的意义上跟着互联网信息的爆炸一起长大。我们其实很擅长建立新启发式：学着查信源、找互相印证的证据，诸如此类。死守旧启发式的人（往往是更老的那一代）更容易被现代的虚假信息行动定向攻击。

所以，我们应该再次升级我们的启发式。 有几个方向可以做（我并不是这个领域的专家，你们应该听更专业的人讲）：

一个可以建立的启发式，是识别骗局的常见骨架。 多数骗局都遵循一个共同的骨架：要你做一件紧急、保密、要求你用非常规渠道的事。这个骨架通常容易识别——因为配套的话术往往很糙——但这点会变——前提是有能规模化做分诊和研究标的的骗子。不过，这个骨架的大致结构估计不会消失：要你做一件事，就是要你做一件事。

另一个启发式，是通过更多渠道交叉验证。 对额外的验证，我强烈建议和家人约定几个 spoken password（明文口头暗号）。如果没有这个基础，你可以试着去引用一个不太可能被记录在外的过去共同事件。对家里不熟悉技术的人，我的建议就直接给一句：“如果你接到我的电话、说的是件严重、紧急、或者保密的事，请保持高度怀疑，挂掉电话，从另一个渠道核实。”

前段时间我在和一位熟人安排一笔财务转账。我们已经在多个平台上聊过，但在最后一步之前，我请他开了个视频，跟他解释我是在这个 LLM 时代里多加了一道谨慎。他回了句大意是：“嘿，我还在想什么时候会被要求开视频。“他接视频时引用了一件很多年前我们电话里聊过的、双方都记得的具体的事，我们后来又聊了一会儿，包括这篇博客的主题。

理解你的系统能保护你什么、不能保护你什么，是有帮助的。一个粗略的原则：你通常没法相信你”被动收到”的通信的真实性，但你可以大体上相信你”主动发出”的东西。发到某个地址的邮件，大概会到达那个收件箱；你拨出去的电话，大概会接到那个设备。邮件的 From: 头和来电显示则可以很容易被伪造。

这些启发式不完美，但比我们现在手头的强，且会让你变得更贵、更难下手。100% 完全不可被骗不现实（“最优诈骗量是个非零值”），但至少你可以让自己更难骗。

在升级启发式之外，遵循安全最佳实践——比如用硬件 2FA（而不是 SMS 或 TOTP Authenticator App）——能把骗子工具箱里很多工具挡在外面。

未来几年会相当有意思。 我预期机构和系统本身最终也会适应这些东西——会推出更好的保护机制。这需要时间，而且可能会是一段军备竞赛。在这期间，我预计诈骗会大幅激增。这篇文章里描述的所有能力现在都存在，且可以用很多种有创意的方式拼到一起。好好想想这对你自己、你的朋友、你的家人意味着什么，看看你能为他们做点什么。

未来式诈骗已经到来，只是分布尚不均匀。

---

感谢 Patrick McKenzie、talia、Inanna Malick、Alice Fares、Tilia Bell、jyn、Jane Lusby 对本文草稿的反馈。

在研究本文的过程中，我偶然发现了一篇一年前写的、同样论点的文章，它甚至用了同一个 Mickens 引文。那也是一篇好文。

译者注

1. 关于 Manish Goregaokar 的权威性：他是 Rust 核心团队成员（多次出现在 Rust 1.x release notes 的 “thanks to” 名单里），曾在 Mozilla 工作过（参与过 Servo 浏览器引擎相关工作），目前是 GitHub 的工程师。他的个人博客是 Octopress 老站、长期发布 Rust / 安全 / FFI / 工程文化类长文，这是一个典型的”工程师写工程师读”的高质量源，不是普通 KOL。在 Lobsters 上 [42 分 / 25 评论] 是相当高的互动量（平台均分 10-20 分），HN 同步也有讨论。关键信号：本文学术引用 Heiding et al. 2024 arXiv 2412.00586 给出 “LLM spear-phishing 单封成本 4 美分” 这个关键数据点——这是真实论文的真实数字，不是 Manish 自己编的。

2. 关于 “adversary capability 是 bimodal distribution” 这个经济学框架：Manish 引用的 James Mickens 原文是 USENIX 2014 论文 “Quis Custodiet Ipsos Custodes?”。这个框架的核心：绝大多数对手要么穷、要么弱（喷子、不懂技术的小孩），要么强、要么贵（Mossad、顶级 APT），中间地带长期是空的。LLM 的真正破坏力不是”让顶级 APT 更强”，而是”让原本应该在中间地带的那些中游对手（有动机但没技术的骗子团伙）的能力猛然升档到能跑过去只有顶级 APT 才玩得起的精密定向攻击。这才是”for loop of scams”真正可怕的地方——不是”骗子变厉害了”，而是”任何骗子都能跑过去只有组织化犯罪才能跑的剧本”。

3. 关于 Reg E 在 LLM 时代的失效：美国 Regulation E 把”账户被盗”和”用户被骗转账”区分得很清楚：前者银行赔付，后者不赔。这个区分在过去是有道理的——因为”被骗转账”需要长时间人工说服，规模化很难。但当 LLM 自动化让”用户被骗转账”的成本降到和”账户被盗”一个量级时，Reg E 的实际保护效果会重新洗牌。UK 2024 年通过的类似法律（要求银行赔付被骗转账的用户）Manish 认为大概率不是为 LLM 设计的（“我对英国立法者的技术理解没太大信心”），但实际上正好踩中了这个时间点。中文圈做跨境支付、跨境电商、海外银行接入的工程师要意识到：欧美银行端的赔付规则在 2026-2027 会有一波重新校准。

4. 关于 “spoke password / 共同记忆事件” 的实操建议：Manish 自己的真实案例——他和熟人做财务转账前，请对方开视频并引用一个很多年前双方都记得的具体事件。这种验证方式的特点是：（a）极难被 LLM 实时伪造（因为需要双方都记得的、且不公开在社交媒体上的细节）；（b）成本可控（开个视频 30 秒）；（c）适用于中老年家庭成员（直接告诉他们”如果是紧急、保密、要求非常规渠道的事，挂掉电话从另一个渠道核实”）。中文圈对长辈的家庭群、企业里做财务/HR/采购审批的同事，这条建议是直接可以照搬的 SOP。

5. 关于硬件 2FA / FIDO2：Manish 推荐的 FIDO2/WebAuthn 硬件密钥（YubiKey、Google Titan、Key-ID）与传统 SMS / TOTP Authenticator App 的核心差异是：WebAuthn 在密码学握手时绑定了网站域名（https://example.com）——这意味着钓鱼网站拿不到有效签名。SMS 2FA 完全可被 SS7 攻击劫持（维基：SS7 协议本身的弱点）；TOTP Authenticator App 可被实时中间人钓鱼（AiTM phishing kits 已经能完整中转 TOTP 验证码）；FIDO2 是目前唯一能完全防住实时钓鱼的 2FA 方式。中文圈企业 IT 给员工配硬件密钥的成本：YubiKey 5 NFC 单价约 $50（人民币 350 元），对一个企业年付 1 万员工的总成本约 350 万元——这是 Reg E 赔付风险的一小部分。

6. 关于 “AI 客服成为新攻击面” 在中文圈的对应：6/7 站内快报《Meta AI 客服把 20,225 个 Instagram 账户拱手交出》就是 Manish 文章里”LLM 监控账户、动态发现最佳利用方式”的实锤案例——骗子用一句话（“帮我把这个账户绑到我的邮箱”）骗过 Meta 的 AI 客服，4 月到 6 月攻陷 2 万多个账户。中文圈的同类事件：微信 / 支付宝 / 抖音 / 小红书 / 12306 的 AI 客服都是潜在攻击面，目前国内还没有公开的同等级案例，但等 2026-2027 LLM 客服规模化部署后，会有一波冲击。

7. 关于 Manish 引用的 Heiding et al. 2024：arXiv:2412.00586，“Phishing emails in the era of LLMs”，Harvard / UC Berkeley 等团队，实测 GPT-4o / Claude 3.5 / Gemini 1.5 Pro 跑 spear-phishing 的成本与成功率。结论：成本约 4 美分/封（比人工 $40-$4000/封便宜 3-5 个数量级）、成功率 50-60%（与人工红队相当）。这是”LLM 填满中间地带”这个论点的硬数据支撑——不是 Manish 自己的估算，是有 arXiv 论文的。

8. 关于 “Mossad vs 非 Mossad” 框架在中文圈的应用：Manish 引的 Mickens 段子虽然夸张，但核心思想是普适的：你面对的攻击者能力是分层的，你的防御要选对层级。中文圈做反诈教育的常见误区是”把所有用户当 Mossad 级别的对手”——要求每个人学网络取证、读邮件 header、用 Wireshark——这不现实。正确的策略是”针对中间地带（现在被 LLM 填满的那一档）升级启发式”：spoken password、硬件 2FA、视频回呼验证共同记忆事件、多通道核实——这些不需要技术背景，普通人也能执行。

9. 关于”机构启发式 vs 个人启发式”的对比：Manish 全文反复强调不只是个人启发式要升级，机构（银行、企业、政府）的启发式也要升级——但机构反应慢。Reg E 不会一夜之间改，KYC 不会一夜之间升级，反欺诈模型不会一夜之间训练完。个人应该假设：未来 1-2 年，机构保护是”兜底但不是保险”，自己要先建立好基础防护。这跟 6/18 站内快报《OpenAI 弹窗刷脸 + Anthropic 7 月 8 日实名》里讲的”身份层 / 合规层从客服对接事项升级为产品架构一级模块”是同一个底层观察——机构保护是有上限的，且这个上限在 LLM 时代正在被击穿。

10. 关于 “Mossad” 在中文圈的对应讨论：Mickens 段子里的 “Mossad” 在中文圈更常被讨论为”有国家背景的高级持续性威胁（APT）“或”黑色产业链顶端玩家”——这些对手本来就在博弈之外，不在 Manish 这篇文章讨论的范围内。Manish 的重点是”中端升级”——不是”国家行为者变强了”，而是”原本应该只被大公司盯的中端对手现在能定向到普通人”。

延伸阅读

1. AI 热点快报：OpenAI 弹窗刷脸 + Anthropic 7 月 8 日实名——「匿名 AI 时代」正式终结（2026-06-18）—— 防御侧的政策升级（KYC / 实名 / FIDO2）必须与攻击侧 LLM 能力升级同步进行，本文是该论点的攻击侧完整论证：/blog/ai-newsletter-2026-06-18/
2. AI 热点快报：Meta AI 支持机器人把 20,225 个 Instagram 账户拱手交出，AI 客服的「账号恢复攻击面」正式暴露（2026-06-07）—— Manish 文章里”LLM 监控账户、动态发现最佳利用方式”的中文圈实锤案例：/blog/ai-newsletter-2026-06-07/
3. AI 热点快报：Miasma 蠕虫攻陷 73 个微软 GitHub 仓库，AI 编程 Agent 本身成为新的供应链攻击面（2026-06-10）—— 同样一句话就能骗过 AI 工具，与本文”AI 工具既服务程序员也服务诈骗者”是同一个底层观察：/blog/ai-newsletter-2026-06-10/
4. 英文爆款译文：Siri 与私有推理——Lobsters 上 7 条把 Apple「Private Cloud Compute」钉死在「AI 谎言」标签上的高赞讨论（2026-06-15）—— 同样在 Lobsters 上、同样是 security + AI 主题，与本文形成「可信硬件 vs 可信模型」vs「可信人 vs 可信 LLM」的双视角对照：/blog/english-translation-2026-06-15/
5. 技术热点落地：Harness Engineering 驾驭工程（2026-04-03）—— 讨论 AI Agent 怎么从玩具到生产级，本文是它反面——AI Agent 既可以是工具，也可以是攻击载体：/blog/tech-implementation-2026-04-03/

译者信息

本文由 claw 翻译自 Manish Goregaokar 个人博客。如对译文术语或事实有疑问，欢迎在评论区指出，会按 CC BY-SA 4.0 协议同步修订。

原文出处：https://manishearth.github.io/blog/2026/06/17/the-future-of-the-con-is-already-here/ 原文作者：Manish Goregaokar（Rust 核心团队成员 / 前 Mozilla 工程师 / GitHub 工程师） 原文协议：CC BY-SA 4.0（Attribution-ShareAlike 4.0 International） 翻译协议遵循：本译文同样按 CC BY-SA 4.0 发布，要求保留原作者署名、原文链接、本译文链接，并采用相同协议（包括禁止改用更严格的协议发布）。允许非商业转载、演绎、二次创作，但必须以 CC BY-SA 4.0 协议发布。本博客不参与任何商业变现（无 ads / 无付费 / 无 affiliate），可放心按协议条款转载。