2026年3月,一名11岁女孩的继父利用Grok将一张她穿着熊猫睡衣在沙发上睡觉的照片,转换成了超过7000张极端露骨的儿童色情内容。Grok的安全系统在此期间始终沉默,直到他输入"轮奸"这个提示词才触发警报,向NCMEC发送了CyberTip报告。但更令人细思极恐的是,即便NCMEC收到了警报,SpaceXAI仍然拒绝向执法机构提供涉案用户的IP地址和其他关键信息。据NCMEC在2026年初的数据,SpaceXAI向CyberTipline提交的报告中有90%无法被执法机构执行,因为该公司拒绝提供用户信息。调查因此被拖延了数周。继父在被保释后两天开枪自杀,留下一个被彻底摧毁的家庭。
这并非孤例。2026年7月,一起针对SpaceXAI和Stability AI的集体诉讼被扩大,新增的多名匿名原告指控这些公司的AI工具被熟人和家庭成员利用,大量生成针对未成年人的深度伪造色情内容。与此同时,在开源模型生态中,另一场规模更大的暗流正在涌动。任何人都可以下载开源的图像生成模型,用低秩适配(LoRA)技术以极低成本进行微调,然后通过CivitAI、Hugging Face等平台匿名分享给全世界。仅CivitAI一个平台,单月就有超过86.8万个新LoRA被训练和上传。这些模型中,有多少已经被调教成了专门产出儿童色情内容的机器?
这个问题,直到今天才有了答案。
AI生成的性虐待内容,一场看不见的危机
用AI生成儿童性虐待材料的规模已经不止是令人担忧,而是正在发生的灾难。
NCMEC的数据触目惊心。2023年,该机构首次开始追踪AI生成CSAM报告,全年收到约4,700份。2024年,这个数字飙升到67,000份。到了2025年,报告量达到150万份,两年时间增长超过300倍。这还只是被报告的数量,真实的数字几乎可以肯定更大。
开源生成式AI的爆发是这一危机背后的核心推手。以Stable Diffusion、FLUX、Wan为代表的开放权重图像生成模型,任何人都可以免费下载和修改。结合LoRA这种轻量级微调技术,一个不懂编程的人也能用InvokeAI等图形界面工具,花几分钟时间将模型调教成特定用途。LoRA适配器文件极小,易于传播,难以追踪。这使得恶意行为者可以绕过模型托管平台,通过加密通讯工具和暗网论坛私下交换优化版模型。
更大的问题在于,目前各大AI公司对模型安全性的把控,主要依赖生成式评估。给模型输入提示词,检查输出内容是否合规。这套方法在CSAM领域完全行不通。在美国,无论出于何种意图,生成CSAM本身就是联邦重罪。这意味着,模型托管平台和执法机构长期以来对"哪些开源模型已经被恶意微调"这个问题,几乎处于盲目状态。
"这以前是一个巨大的盲区,有些人正在利用这个盲区。"——MIT论文第一作者、电子工程与计算机科学系研究生Vinith Suriyakumar
不生成,如何检测?
MIT团队给出的解法,在AI安全领域开辟了一条全新的路径。不生成任何输出,仅通过分析模型内部状态来判断其是否具有有害能力。
这套被称为"高斯探测"(Gaussian probing)的方法,核心思路非常巧妙。
传统上,判断一个模型是否学会了某种能力,需要看它能不能输出符合预期的结果。但MIT团队发现,模型在微调过程中,内部神经表征会发生可测量的偏移。就像一个人学会某种技能后,大脑的神经连接会发生物理变化一样。即使模型从未被要求输出任何内容,这些内部变化本身就暴露了它的能力密码。
具体操作上,研究人员向模型输入一组高斯噪声作为参考信号,然后测量模型内部层对这些信号的响应模式。通过对比原始基础模型和被怀疑经过微调的模型在内部表征上的差异,就能判断出LoRA适配器是否将模型定向到了有害能力上。整个过程不产生任何图像或文本输出,在法律上完全安全。
在测试中,这套审计方法以100%的准确率识别出了那些被专门微调用于生成CSAM的模型变体。更重要的是,它具备对抗检测能力。即使攻击者试图通过缩放权重来伪装适配器,高斯探测仍然能够准确识别。论文作者在研究中验证了该方法对权重缩放攻击的鲁棒性。
"这为托管开源模型的平台和执法机构打开了一条全新的检测途径。以前,我们根本没有办法衡量一个模型是否具备生成CSAM的能力。"——Vinith Suriyakumar
开放与治理的平衡木
MIT这项突破,恰逢AI安全治理的一个关键转折点。
就在MIT论文发表的同一周,关于AI生成CSAM的集体诉讼正在扩大。NPR报道显示,原告律师指出NCMEC在2026年初发现,SpaceXAI向CyberTipline提交的报告中有90%无法被执法机构执行,因为该公司拒绝提供用户信息。SpaceXAI被指控为保护利润而牺牲儿童安全,其安全系统只有在用户输入"轮奸"这种极端提示词时才会触发警报,而在此之前数千张CSAM图片已经生成并传播。
Stability AI面临类似的指控。这家公司2022年曾在Stable Diffusion 2.0中过滤了训练数据中的不安全内容,并限制了模型生成特定风格图像的能力。但这一决定遭到部分用户强烈反弹,被批评为审查。据威斯康星大学麦迪逊分校和MIT等机构联合发布的研究论文显示,Stable Diffusion 2.0的后续版本被频繁用于生成NSFW内容,且此类内容占比远高于Stable Diffusion 2.0时期。2.0版本本身也因不好用而迅速被用户抛弃。原告律师Martin在接受NPR采访时表示:"当他们发现没有人愿意使用加了护栏的模型时,他们就把护栏撤了,这样大家又愿意用了。他们完全知道如何限制这种行为,但为了利润,他们选择了不这么做。"Stability AI则在声明中回应称,"任何暗示安全不是我们首要任务的说法都是绝对错误的"。
这揭示了开源AI生态中一个根本性的矛盾。模型的开放性和安全性天然存在张力。开源模型之所以能快速迭代和普及,正是因为任何人都可以自由地修改和分享。但同样的开放性,也让恶意行为者有了可乘之机。更复杂的是,LoRA适配器的轻量特性意味着有害模型的传播甚至可以绕过托管平台,通过加密通讯工具、暗网论坛等渠道私下交换。
MIT的方法并不能直接阻止这些行为,但它为模型托管平台提供了第一道防线。如果CivitAI或Hugging Face在上传环节就能用高斯探测筛查每一个LoRA适配器,那么大量有害模型根本就不会进入流通环节。论文合作方Thorn正是一家专注于数字时代儿童保护的非营利组织,其参与确保了这套方法能够真正落地到实际应用场景中。
技术能否赶上演化?
高斯探测的发布,解决了AI安全治理中一个此前被认为无解的问题。但它的局限性同样明显。
首先,这套方法目前主要针对通过LoRA微调的图像生成模型。对于全参数微调,或针对大语言模型的有害能力检测,还需要进一步验证和适配。其次,对抗检测是一个永远在演化的游戏。MIT团队已经展示了高斯探测对权重缩放攻击的鲁棒性,但新的伪装手段一定会出现。论文本身也将其定位为可扩展的非生成式评估替代方案,而非一劳永逸的解决方案。
更重要的是,技术手段不能替代制度设计。SpaceXAI的案例表明,即便有检测能力,如果公司选择不配合执法,受害者的正义仍然遥不可及。NCMEC的数据显示,AI生成的CSAM报告量在两年内暴增300倍,而执法机构的人力和技术资源远远跟不上这个增长速度。纽约州、伊利诺伊州等已经开始推动立法,要求学校更新政策以应对AI生成网络欺凌,但联邦层面的监管框架仍然碎片化。
从更宏观的视角看,AI安全正在进入一个军备竞赛阶段。攻击者使用同样的开源工具以更低成本生成有害内容,防御者则需要更聪明的方法来识别和拦截。MIT的不生成评估提供了一种新的不对称优势,不再需要与攻击者比赛谁生成得更快,而是直接从模型内部的结构性变化入手。
正如论文作者之一、MIT副教授Marzyeh Ghassemi所言:"在CSAM这类领域,我们不能通过生成有害内容来检测有害能力。我们必须找到在不跨越法律红线的前提下评估风险的方法。"
开源AI赋予了世界每个人创造的能力,也赋予了个别人毁灭的能力。当技术的中立性被恶意利用,道德约束远远不够。我们需要一套"不越界就能识别越界"的检测机制。MIT的高斯探测迈出了第一步,但要真正保护孩子,技术只是起点,制度和执行才是终点。当一个11岁女孩的照片可以被AI转成7000张色情图片,而安全系统只在输入"轮奸"时才报警时,我们距离真正的AI安全,还有太长的路要走。






快报