一个11岁孩子对着镜子,往自己脸上画了两撇胡子,然后对着手机摄像头笑了。AI系统判定:成年人,通过。

这不是段子,是英国互联网安全组织Internet Matters最新调查里的真实案例。政府花大力气推行的《网络安全法》年龄验证系统,正在被孩子们用最原始的方式破解。

打开网易新闻 查看精彩图片

46%的孩子说:这玩意儿好骗

Internet Matters调查了1000多名英国儿童和家长。结果让政策制定者有点尴尬——46%的孩子明确表示,年龄验证"容易绕过",只有17%觉得"难骗"。

孩子们的作弊工具箱相当朴素:

• 视频自拍系统?找个游戏角色图片怼上去

• 要填生日?随手编一个

• 要身份证?借别人的

• 最离谱的:画假胡子

那位画胡子的孩子可能没想到,自己成了这项研究里最出圈的案例。AI人脸识别本该捕捉骨骼结构、皮肤纹理这些"防伪特征",却被两笔画上去的颜料打败了。

这暴露了一个尴尬现实:很多年龄检测系统依赖的面部识别算法,训练数据可能过于"干净"。它们认得真胡子,却没学过识别"假胡子的视觉特征与真胡子的差异"——比如边缘过于锐利、颜色饱和度过高、没有毛孔细节。

更值得玩味的是数据背后的行为落差。46%觉得"好骗",但实际承认"骗过"的只有32%。剩下那14%是技术宅的谦虚,还是嘴硬?

17%的家长:我帮孩子骗

如果说孩子作弊还算"预期内损耗",家长主动助攻就有点黑色幽默了。

调查显示,17%的父母承认自己"积极帮助孩子绕过年龄验证",另有9%"睁一只眼闭一只眼"。合计26%的家长,在系统性瓦解政策效果。

Internet Matters记录了一些家长的典型心态:「他们觉得自己了解风险,基于对孩子的了解,确信在监督下进行是安全的。」

翻译一下:我知道这不该让他看,但我看着他看,所以没事。

这种逻辑熟悉吗?像极了那些给孩子买酒的"酷爸妈"——规则是规则,我家情况特殊。政策设计时假设的"家庭防线",在某些场景下变成了"家庭共谋"。

《网络安全法》的核心假设是:只要技术门槛够高,就能把有害内容与未成年人隔开。但技术门槛堆得再高,绕不过两个变量:孩子的创造力,和家长的主观判断。

政策vs现实的错位

英国政府的《网络安全法》(Online Safety Act)已经生效数月,Ofcom作为监管机构,要求平台对未成年人访问色情、暴力等内容实施"适龄设计"。

但Internet Matters的报告暗示,这套机制正在变成"纸面合规"——平台做了该做的,孩子看了想看的,家长选了想选的,只有政策目标悬在半空。

更深层的问题是:年龄验证技术本身的军备竞赛,是不是选错了战场?

当前主流方案大概分三类:身份文档验证(上传护照/驾照)、生物特征估计(面部识别估年龄)、第三方身份绑定(绑定已验证成年身份的支付账户)。

每种都有漏洞。文档可以借或偷,生物特征可以被假胡子骗,支付账户可以共用。而且验证越严格,隐私风险越高——要证明你是成年人,你得先交出大量个人数据。

Discord最近的一个政策转向很有意思:默认所有用户未成年,除非自证清白。这倒过来想,或许比"默认成年、抽查验证"更符合现实——毕竟,假装成年比假装未成年难多了。

但这也意味着平台要承担更大的内容审核压力,把更多资源花在"向成年人开放"而非"向未成年人封锁"上。商业上是否可持续,是个问号。

假胡子背后的真问题

回到那个画胡子的孩子。这个案例之所以被反复引用,不只是因为戏剧性——它精准戳中了技术治理的盲点。

AI系统擅长识别"是什么",却不擅长识别"假装是什么"。深度学习模型从海量数据中提取统计规律,但"假胡子"作为攻击样本,在训练集中占比极低。系统没见过,就不会防。

这有点像早期的验证码战争。文字验证码被OCR破解,于是加上扭曲、噪点;又被机器学习攻克,于是换成点击红绿灯、识别斑马线。道高一尺,魔高一丈,成本持续攀升。

年龄验证会不会走上同一条路?今天的假胡子,明天的深度伪造视频,后天的对抗性眼镜框——攻防双方的投入完全不对等。平台要防住所有攻击,攻击者只需找到一个漏洞。

而且,验证码好歹是"人机区分",年龄验证是"大人小孩区分",后者在生物特征上的重叠度远高于前者。11岁和18岁的面部差异,可能比人和机器的文本输入差异更难建模。

Internet Matters的数据还透露了一个细节:32%承认骗过系统的孩子里,有多少是"偶尔为之",多少是"常规操作"?报告没细分。但这个比例如果集中在少数"技术型"用户身上,意味着政策漏洞的实际影响可能被低估——一小撮人高频访问有害内容,和一大群人偶尔好奇,是两种完全不同的治理挑战。

家长角色的悖论

26%家长"助攻或默许"的数据,指向一个政策设计时难以处理的变量:家庭内部的权力结构。

政府可以规制平台,可以处罚违规企业,却很难介入"父母是否该帮孩子绕过年龄验证"这个私人决策。Internet Matters引用的家长辩护词——"我了解我的孩子"——在个体层面很难反驳。

但聚合起来,就是系统性失效。政策目标(保护未成年人)与部分家长的实际选择(基于自身判断放松限制)之间存在张力。这种张力不是技术能解决的。

更微妙的是那9%"睁一只眼闭一只眼"的家长。他们算违规吗?不算。算配合政策吗?也不算。这种灰色地带的存在,让任何"合规率"统计都变得可疑——平台可以说"我们验证了年龄",家长可以说"我没主动帮忙",孩子顺利看到了内容,三方都没有"责任",只有政策目标受损。

下一步会怎么走

Ofcom目前的态度相对温和,主要依赖平台自我报告和事后抽查。但已经有慈善机构警告说,这种执法力度"太软",《网络安全法》可能沦为"纸老虎"。

技术层面,平台可能在探索多因子验证——不光看脸,还看行为模式、设备指纹、社交图谱。但这又触及隐私的敏感神经:为了确认你是成年人,我要收集你多少数据?

Discord的"默认未成年"策略如果推广,可能改变行业范式。但这需要整个内容生态的配合——音乐、视频、社交、游戏,全部转向"先隔离、后放行"的逻辑。短期内看不到这种协同的可能。

那个画胡子的孩子,现在大概已经学会了更高级的技巧,或者干脆被家长"认证"了账号。他的故事会被写进报告、被引用、被嘲笑技术的笨拙,然后被遗忘。

但问题还在:当我们说"保护未成年人上网"时,到底在保护什么,防住什么,以及——谁来决定"有害"的边界?技术可以验证年龄,验证不了这些。