"在去年7月11日中午收到那条信息之前，马修·范·安德尔（Matthew Van Andel）的生活一直非常规律且安稳。他就职于一个著名的跨国媒体集团，担任施工经理的工作。
  那个在聊天论坛Discord上出现的信息打破了他的平静，对面的陌生人对他了解颇深，甚至还知道他前几天和同事共进午餐的细节。
  
  因为密码失窃而导致失业的安德尔（图片来源：wsj.com）
  安德尔的大脑在瞬间开始飞速运转，他甚至环顾四周确认是不是有陌生人盯着自己。根据对方的指示，安德尔开始用邮件和对方进行沟通。
  对方倒是没有隐晦，告诉了安德尔这些消息都是从一个叫Slack的聊天软件上获取的。而这个软件就像我国的飞书或者钉钉，主要是用于工作上的沟通。安德尔这才想起来，自己曾经在Slack的一个私密组群里聊过那天的午餐，但这些内容除了参与组群的成员外，其他人是不可能知晓的。
  这个名为“Nullbulge”的陌生人向安德尔提出了非常过分的请求，威胁他如果不照办就继续公开他的信息。尽管安德尔并没有向媒体透露对方勒索的具体内容，但显然他没能满足对方的要求。于是很快，安德尔的噩梦就开始了。
  
  Nullbulge 在自己的博客上描述了整个黑客事件的情况，并在其中提及了安德尔 （图片来源： wsj.com ）
  他与孩子们玩游戏的平台被劫持，他的在线社交媒体账户里被塞满了攻击性语言，电子邮箱里收到了大量的垃圾邮件。他的信息也被“开盒”，无论是家庭信息还是工作信息都在网上被公开，他还时不时会收到匿名的电话和信息。
  在那几天，安德尔几乎没有睡觉或吃东西，一直沉浸在恐慌中。他在第一时间就报了警，并且开始思考为何自己的密码会被泄露。
  
  Nullbulge发给安德尔的电子邮件（图片来源：wsj.com）
  安德尔并非电脑小白，也非常懂得对自己隐私的保护。他会把自己的账户密码，放置在一款名为“1Password”的软件中。这是一款专门存放密码的软件，它就像一个虚拟的保险柜，个人的信息经过加密处理被放置其中。在用户注册账号后，网站会提供一份含有自己账户的安全密钥文件（Secret Key），在任何一台新设备登录1Password，都需要输入正确的用户名、主密码和安全密钥才行。理论上来说，除非安德尔自己把安全密钥交给别人，否则黑客不可能破解1Password的账户，也就不可能破解安德尔其他的账户。
  但安德尔最大疏忽的地方，是他没有在1Password开启双重身份验证，也就是网站会给绑定的电脑或手机上发送一个临时的代码，以确定新设备为本人所持有。
  
  很多网站都提供了双重身份验证的功能，这是目前在保护账户方面，最有效的防御措施之一（图片来源：mshelton.medium）
  但安德尔此刻没时间去思考更深入的原因了，他的不幸并没有结束。安德尔的公司在检查他的私人电脑后，认为其中有“影响公司声誉”的信息，他由此被解雇。他的健康保险也被终止，手机上很多软件也被冻结。因为密码泄露， 安德尔至少损失了20万美金。
  在经过专业安全团队的检查后，安德尔终于搞清楚了自己为何如此不幸。一切的源头，源自他几个月前的一次“尝鲜”。
  2024年2月15日，OpenAI公司发布了其首个人工智能（AI）视频生成模型Sora。在那个时刻，AI不仅仅可以进行文字内容的处理，也可以生成影像内容了。安德尔由于自己工作的原因，也开始尝试在自己的私人电脑上应用一些新的AI技术。他在著名的代码共享网站 GitHub 下载了一个免费软件，这个软件可以根据文本提示创建用于物体翻滚动作的视频。
  
  GitHub是目前全球最大的社交编程及代码托管网站，作为一个开源社区，每个人都可以在上面进行上传或分享代码，但与此同时网站也无法保证每一段代码都是安全的（图片来源：github.com）
  安德尔并不知道的是，这个软件中隐藏着木马程序。在安装软件那一刻起，木马程序就在安德尔的电脑上不间断地尝试破译着他的密码。它还会读取网页浏览器中的cookie，并且还用到了“凭证填充”（Credential Stuffing）手段去窥探安德尔的隐私。
  所谓的凭证填充，也就是黑客掌握了用户一个网站上的账户密码之后，就去尝试用同样的账户密码去其他平台登录。对于大多数用户来说，可能在几十个平台都有用户名和密码，其中很多使用的都是同一套内容。所以当其中一个被破解了之后，很大概率其他平台的账户也能被破译。
  “泄露你的信息，就当是对未来人类的警示吧。”这是Nullbulge留给安德尔的一句话。
  
  黑客NullBulge 的截图，它自我描述为“黑客行动主义者团体”，它在网站和论坛上常常用一个狮子作为头像（图片来源：mshelton.medium）
  并不是只有像安德尔或者我们这样的普通人，才这么容易受到黑客的攻击，即使是埃隆·马斯克（Elon Musk），同样也会遭遇“开盒”。
  泄露了马斯克信息的公司是23andMe，这曾是美国商业基因检测领域的一个巨头。黑客们同样是使用了凭证填充的手段，在几个月时间里，先成功登录了23andMe上大约1.4万名用户的账户，然后利用这些账户里的DNA亲属功能，进一步获取了另外690万用户的数据。
  根据泄露的文件，马斯克的基因结果所属的账号下还有另一个人的数据，正是他的好友，谷歌创始人布林（Sergey Brin），而布林的妻子苏珊·沃西奇（Susan Wojcicki）正好是23andMe公司的创始人，所以黑客不难判断找到的就是马斯克的基因数据。
  
  马斯克与一位中国特斯拉车友对比图。由于马斯克的面孔非常像中国人，所以一直有传言马斯克具有中国血统。根据基因测序的结果，马斯克含有O-F1150父系基因，这是中国古代男性常见的基因类型，由此可以推断马斯克确实曾经有过一个来自中国东部沿海的父系祖先。大概是在宋代至明代时间，他由于某种原因移民到菲律宾，后来子孙又到了南非，在繁衍几代人之后产生了马斯克（图片来源：网络）
  在AI技术尚不成熟的时候，黑客即使通过木马掌握了用户隐私，想要进行大规模匹配，或者编写相关的代码，还是一件门槛很高的事情。但在ChatGPT出现之后，AI可以替代很多原本黑客自己需要去做的工作。就在不久前，日本警方破获了一起案件：3名高中生利用AI优化黑客程序，成功进入日本电信业者乐天行动（Rakuten Mobile）的系统，窃取超过22万组账号密码，并借此非法制作了大量eSIM卡。
  
  根据报道，三名嫌疑人均是未成年，最小一位年仅14岁。他们使用ChatGPT生成黑客程序，假冒顾客签署通信协议赚取非法利益，已签约倒卖1500份以上通信协议（图片来源：techbang.com）
  利用AI技术进行换脸或者合成语音进行诈骗的事情更是屡见不鲜，黑客还会利用AI生成虚假信息，编造谣言并进行传播，以达到混淆视听、误导公众的目的。其实就在安德尔尝试使用AI软件的同一个月，微软宣布来自俄罗斯、朝 鲜和伊朗等国家的黑客，正在使用OpenAI的工具来提升其攻击能力。
  如今安德尔正在努力恢复他的平静生活。他起诉了自己的老东家，对其解雇事宜提出异议。他找到了一份临时的工作，以求可以支付日常的开销。他的家人们为他组织了一个名为“Go Fund Me”的活动，来募集资金帮助他渡过难关。
  
  安德尔的全家福。他现在能做的就是让家人尽量不受到外界的干扰（图片来源：techbang.com）
  但造成一切不幸源头的Nullbulge却依然逍遥法外，甚至我们至今不知道，它究竟是一个人，还是一个组织。它依旧隐藏在网络世界的某个阴暗角落，随时注视着下一个目标……
  参考资料：
  1. Kwon D. What went wrong at 23andMe? Why the genetic-data giant risks collapse. Nature. 2025 Feb;638(8049):14-15. doi: 10.1038/d41586-025-00118-y. PMID: 39849134.
  2. What tool did Matthew Van Andel downloaded from Github?https://www.reddit.com/r/hacking/comments/1izrsyi/what_tool_did_matthew_van_andel_downloaded_from/
  3. 三名日本高中生利用ChatGPT協助駭入樂天行動系統，竊取22萬組帳密並成功申請超過一千張eSIM卡https://www.techbang.com/posts/121694-three-japanese-high-school-students-used-chatgpt-to-hack-into
  4. Man's Entire Life Destroyed After Downloading AI Software. https://futurism.com/the-byte/life-destroyed-ai
  5.How hackers ruined a Disney employee’s life after he downloaded AI photo tool. https://www.the-independent.com/news/world/americas/crime/disney-hack-nullbulge-ai-slack-b2705487.html
  6. 23andMe is in trouble. What happens to all the DNA data?https://www.npr.org/2024/09/25/nx-s1-5123633/23andme-is-in-trouble-what-happens-to-all-the-dna-data
  本文来自微信公众号“把科学带回家”（ID：steamforkids），作者：河边的卡西莫多，审校：刘六七，经授权发布。"