
一句话看懂:开发者 Eric Lu 制作的“幽灵字体”利用动态噪点让人类凭视觉轻松识读文字,却成功迷惑了 GPT-5.6 和 Claude Fable 等顶级多模态模型。然而仅一天后,提示工程领域专家用一句方向提示,就引导 AI 成功破译,暴露出当前模型在动态感知上的脆弱边界。
事件核心:发生了什么
Eric Lu 发布了名为“Ghost Font”(幽灵字体)的在线实验工具。用户在网页输入文字后,系统生成一段动态噪点视频:构成字母的像素统一向上滑动,背景噪点则向下运动。人类凭借视觉皮层的运动感知能力,能一眼读出文字,但视频任意一帧都是无意义噪点。测试中,GPT-5.6 Sol Ultra 和 Claude Fable 均未能读取真实信息,反而读出了作者预设的诱饵文字,例如“SEND NUDES”。该视频在发布后一夜收获超过 1700 万次播放。
然而,提示工程专家 Riley Goodside 仅用一句提示“组成字母的噪点向上滑,其余的向下滑”,就引导 GPT-5.6 Sol 在 1 分 56 秒内正确读出了信息“RILEY WAS HERE.”。此外,也有人使用两张间隔 1.5 秒的截图,并告诉模型“背景在匀速运动”,模型通过差分同样成功破解。这类方法本质上利用了 AI 处理视频时默认逐帧分析、缺乏对运动模式主动感知的盲区。
为什么重要
这一事件直接揭示了一个关键短板:当前主流的多模态模型本质上仍是“图像模型处理视频帧序列”,并不具备人类基于运动轨迹的整体感知能力。幽灵字体钻的正是这个空子。但 Goodside 的尝试表明,一旦模型被点明运动方向,其解析能力可以立刻匹配甚至超越人类。这意味着,AI 感知的“人类专属”壁垒可能仅隔着一句提示词——这与 ZXX 字体(抵抗 OCR 的防监控字体)曾代表十三年“免疫”但在现代 AI 面前立刻失效的案例高度相似。这个漏洞对验证码、反爬虫、隐私信息保护等依赖“动态视觉壁垒”的应用场景构成了直接冲击。CAPTCHA 已基本被 AI 突破,动态验证手段的可信度面临更迫切的重估。
对用户/开发者/创作者的影响
对普通用户:依赖“人眼才能看懂”的动效保护隐私(如临时会话中的密信)的做法,其安全性已被快速证伪。用户不应再将此类动态字符用于实际敏感信息的传输。对开发者:在开发依赖视觉隐写、反机器人策略的产品时,不能将单帧噪声类的动态字符视为可靠防线。更有效的方法可能需要结合时间差分、随机运动参数扰动或与用户行为特征绑定的复杂度设计。对创作者:ZXX 字体和 Ghost Font 实验具有重要的启发价值——它展示了一个优雅但脆弱的设计范例。未来真正的“人机区隔”可能不再基于运动模式,而需要转向更深层的语义理解、上下文相关性或对抗性噪声域,但那样又可能牺牲可用性。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
Eric Lu 已表示要将 Ghost Font 开源。目前趋势值得观察:1)原生多模态模型(不依赖逐帧截图,直接理解视频流)出现后,这类静态噪声视频的破解难度是否会归零;2)是否有开发者推出反向工具,将此类动态字符与对抗性采样(如随机改变运动方向频率)混合,作为新的验证码实验;3)企业级风控系统是否会在其动态内容安全策略中,加入针对“运动方向提示攻击”的检测与过滤规则。
来源:Readhub · AI


