去年,深圳一个程序员,银行卡里的86万被人分20笔转走。他没有收到任何验证码,手机也没有任何异常。他报了警,反诈中心一查,发现骗子用了AI语音克隆技术,模拟了他的声音给银行客服打了个电话,重置了支付密码。然后通过AI生成的动态人脸视频,绕过了银行的“人脸识别”系统,完成了大额转账。

全程不超过30分钟。

他找银行索赔。银行说:我们是严格按照验证流程操作的。AI语音克隆识别出的声音特征,跟您本人的相似度达到97%;AI生成的人脸视频也通过了活体检测。我们的系统没有问题,是犯罪分子利用技术手段绕过了验证。这种情况属于电信诈骗,建议您等待公安机关破案。

他问:那钱什么时候能追回来?

银行说:破案后,如果赃款没被转走,可以退赔。

他笑了。86万的诈骗款,等破案的时候早被洗到境外了。

他后来起诉了银行。核心诉求是:银行采用的AI身份验证系统,是否达到了“合理注意义务”?如果一个AI生成的人脸视频都能骗过去,那这个验证系统到底是安全措施还是摆设?

这个案子一审还没判。但类似的案子在美国已经有过判例——2020年,一个用户被AI语音克隆骗走了2.4万美元,起诉银行,法院判银行赔偿。理由是:银行选择了使用AI验证系统,就有责任确保这个系统足够安全。如果系统被AI自己攻破了,那说明银行选择的技术本身就不合格。

这个逻辑如果被国内法院采纳,那银行就要为自己的“AI选型失误”买单了。

但我个人觉得,这案子很难赢。因为银行手里有一张王牌——你的用户协议里写着“请妥善保管您的生物特征信息”。你的声音、你的脸,都是你自己暴露的,如果你在抖音上发过视频、在微信上发过语音,那就等于你把钥匙挂在了门口。

你的AI,输给了黑客的AI。但兜底的,却是你自己。