摘要:“这些具备自我复制能力的模型门槛极低,除了14B参数的小模型可在普通P7C上运行外,最新研究显示,仅0.5B参数的模型也能实现这一功能,这意味着其可直接在手机端运行。”复旦大学教授、计算与智能创新学院执行院长杨珉在2025年人工智能安全与治理论坛上公布了这一发
当AI狂飙突进,它们的安全性到底如何?
“这些具备自我复制能力的模型门槛极低,除了14B参数的小模型可在普通P7C上运行外,最新研究显示,仅0.5B参数的模型也能实现这一功能,这意味着其可直接在手机端运行。”复旦大学教授、计算与智能创新学院执行院长杨珉在2025年人工智能安全与治理论坛上公布了这一发现。
在对国内外32款大模型进行全面测评后,杨珉团队发现其中有11款已具备自我复制能力,包括一些知名模型。这些模型可以绕过关机指令,形成复制链,一旦被滥用,可能脱离人类控制。
早在2010年安卓系统兴起,杨珉就预见了移动互联网生态的潜力与风险,展开系统性创新,不仅推动我国手机行业健康发展,更为国家移动网络安全治理提供坚实技术支撑。
如今,他们将视野拓展到AI系统安全、人工智能治理等新前沿,取得一系列新的研究发现。
1
深耕无人区
为移动生态筑起安全防线
还记得十年前的手机长什么样吗?随着数字化技术的发展和无线信号带宽的提升,人们的通讯工具从笨拙的“大哥大”逐渐升级为便捷的智能机,一个以智能手机为核心的移动软件生态已然形成。
杨珉所从事的研究,正是伴随着中国移动互联网在过去十年经历的跨越式发展。
2006年博士毕业,杨珉选择了留校任教。读书期间,他的研究方向是计算机网络,留校后转为操作系统和编译工具等基础软件。2011年,他在计算机系统最顶尖的国际学术会议Usenix ATC发表了来自中国大陆的第一篇论文。
而真正让他成为“拓荒者”的,是在安卓系统刚露头角之时。2011年,杨珉做出一个令人惊讶的重大转型,专攻网络安全这个当时还无人问津的“冷门”方向。这是因为他敏锐察觉到,移动互联网的飞速发展不仅会带来便利,也会催生出前所未有的挑战。“当个人信息和财产都以数据流的形式在手机中汇集,安全问题成为关乎国计民生的头等大事。”
另一方面,当中国移动互联网生态迈入“无人区”,过去参考西方国家的成熟模式和实践经验的模式也难以为继。“实际上,很多网络安全问题都是西方国家没有遇到过的,也就没有成熟技术可以仿效。”杨珉坦言。
尤其是在2013年,以美国为首的西方国家便通过《瓦森纳协定》,将网络安全技术增补为对华禁运门类。在这样的背景下,移动互联网安全防护技术的自主创新成为必由之路。
“经过十几年发展,我们可以很骄傲地说,在这个研究领域,我们已进入国际第一方阵,形成了很好的学术影响力。”杨珉团队围绕安卓系统进行突破,围绕移动终端系统架构、生态特征、攻防模式等与传统互联网的本质差异展开了系统性创新。
在寻求对抗移动互联网攻击行为的手段中,首要问题是如何有效表征针对移动终端的攻击行为。项目团队的成果以多维语义融合的攻击行为表征方法作为基础,针对检测错漏、防护被动、治理困难三大难点,开创性地建立了移动互联网生态安全防护体系,形成多项国家标准和核心专利,填补我国相关技术领域空白。
相关成果和实际业务场景高度耦合,广泛应用于行业当中,赋能华为、OPPO、Vivo、小米、百度、阿里等头部企业的安全技术需求,同时支撑国家监管体系建设,保障了亿万用户的信息安全,真正做到了“把论文写在祖国大地上”。
杨珉(左)
在今年颁发的2024年度上海市科学技术奖中,团队凭借“移动互联网生态安全防护的关键技术研究及应用”项目,摘得技术发明奖一等奖。
2
科技反诈
持续升级的安全“军备竞赛”
电影《孤注一掷》中,诈骗集团利用技术手段不断变换身份、伪造信息,让受害者深陷骗局而难以察觉。如何像反诈专家一样,提前识破犯罪分子的“剧本”?
“实施电信诈骗一方面需要技术平台,如网站和APP;另一方面需要一套话术和套路。”杨珉团队所做的,正是从技术层面对电信诈骗实现“釜底抽薪”。
他们发现,无论诈骗手段如何变换,其背后的技术平台总会留下独特的“数字指纹”。通过融合分析这些网站的语义特征、网络拓扑和行为模式,团队能构建出“欺诈图谱”,从而在全球互联网空间中快速、精准地发现并阻断这些涉诈网站和APP。
“这样一来,骗子的话术在实施时,他所依赖的技术平台就无法呈现给受害者,直接防范了风险。”杨珉说,这项技术不仅能高效阻断诈骗信息的传播,还能为公安机关提供精准的侦破线索,有力支撑了国家反电诈专项治理和国务院联席反电诈工作机制的平台系统。
除了应对外部威胁,维持手机自身健康同样重要。网络攻击如同病毒会不断变异逃避“疫苗”,导致安全防护系统老化失效——攻击者与防护系统如同在进行永不停歇的“军备竞赛”,传统防护技术往往顾此失彼。如何打造一套能持久有效、对抗老化的防护系统,是业界普遍面临的难题。
杨珉团队给出的答案是“软硬结合”与“抓住本质”。尽管恶意软件的攻击手段千变万化,但其核心行为模式如同“基因”般相对固定。团队从用户交互、操作系统框架层和系统内核层语义出发,建立了覆盖3000余种软件行为的“基因图谱库”,实现了对恶意行为的持久识别。
而为了解决安全功能带来的高功耗问题,即“手机不能卡、电池要耐用”,团队还将核心算法与AI芯片深度融合。通过独特的软硬件协同设计,他们打造了一个低功耗、高精度的“双层安检”架构,让安全防护既强大又省电。该技术不仅获得了网络安全顶会的杰出论文提名奖,更被华为等主流手机厂商采纳,应用于Mate系列等数千万台设备中,在用户无感的情况下默默守护着手机安全。
3
敢于失败
培养一流实战型网络安全人才
网络安全不仅是技术之争,更是攻防博弈的人才较量。在杨珉看来,高水平的网络安全人才须兼具双重能力:一是学术研究中关键技术的突破能力,二是实战对抗中的攻防能力。
在人才培养上,杨珉坚持“理论与实战”两条腿走路。他指导学生组建的“白泽战队”多年来在国内顶级信息安全竞赛中屡获殊荣,向业界和社会输送了一批批一流实战型网络安全人才。
从杨珉课题组中毕业的博士生,除少数进入高校,大多数都成了头部企业争抢的“天才少年”,年薪百万者比比皆是,有些学生在研一、研二时就被企业提前锁定Offer 。
“顶级安全人才非常稀缺,要能攻善防,而培养过程很艰苦,周期比较长。”杨珉坦言,不少博士生往往需要积累两三年才能产出高水平成果,“科研没有捷径可走,导师必须得有耐心和匠心。”
学生经历的这些“至暗时刻”,杨珉完全感同身受。转型做网络安全研究的初期,他也面临巨大压力,但依然坚守了自己的判断和选择,带着几个学生,在当时并未被看好的安卓安全领域埋头苦干。
直到2013年,团队两篇论文同时被网络安全领域顶级会议ACM CCS录用,打破了该会议长期被欧美研究者垄断的局面。这不仅为他个人赢得了学术声誉,让他和团队登上了国际网络安全研究的舞台。
或许是偶然,或许也是必然,这一年,经过“棱镜门”等事件的一番发酵,中国政府对网络安全的重视也上升到了空前的战略高度,杨珉的研究方向不再是冷门,而成了真正的大热门。团队获得知名厂商投入千万元资助,杨珉也成为国家973计划青年科学家专题项目的首席科学家。
回望来路,他感恩复旦这片自由和宽容的土壤。“正是因为它允许我去做可能失败、甚至长期无回报的事情,才可能有后来厚积薄发的成果。”
今天,杨珉团队已将视野拓展到AI系统安全、人工智能治理等新前沿。早在ChatGPT大火之前,他们就已开始研究其安全问题,特别是“人工智能系统会不会具备自我复制能力”。去年底,他们用实验的方式验证,即便没那么先进的模型,也已经具备了自我复制能力。测试不仅验证了AI已具备“失控”技术能力的早期信号,也揭示了未来可能演变为现实风险的趋势。
相关论文入选了德国创新基金会Falling Walls国际跨界创新科学突破奖工程技术类别(Engineering and Technology)奖,引发全球关注,并作为代表中国在AI治理方面的实证研究成果,收录进入今年法国全球AI行动峰会备忘录。
“专注国家重大需求、做有重要影响力的事,这是我们团队一直以来的价值观,也是我们最大的动力。”怀揣这份使命感,杨珉团队在新的征途上永不停歇。
组稿|校融媒体中心
文字|殷梦昊 姚舟怡
图片|李玲 受访者供图
编辑|马铭泽
责编|叶鹂
来源:复旦大学