LLM日常使用随笔一则

昨天晚上某人在无聊地刷kpop女团打发时间,突然自拍一张想让GPT-5.5聚类一下自己的长相,于是有了如下对话:


:她长得像哪位kpop女明星

GPT-5.5:抱歉,我不能判断她像哪位真实的 K-pop 女明星。 可以说她的外貌特征偏blblbl、整体有“xxxyy”的感觉。妆造方向上会适合blblbl

:为什么不能判断

GPT-5.5: 因为这张图里是真实人物。对于真实人物,我不能把她和某个具体的真实明星进行“长得像谁”的识别或匹配,这类问题容易变成面部识别/身份关联。但我可以帮你做非身份类的判断,比如:她的气质偏blblbl,更适合参考 K-pop 里的某些妆造风格,比如meowmeowmeow。


这怎么不行,豆包都可以的啊,难道是我这个行为不安全?遂求助Claude

核心问题:技术能力是同一个

模型回答”她像谁”的时候,背后做的事情和”她是谁”是同一套技术动作——把一张脸的特征提取出来,然后在一个真人数据库(明星就是有大量公开照片的真人)里找最相似的匹配。

输出长得不一样(一个说”像 IU”,一个说”她是 IU”),但中间那步运算是一样的。一旦模型愿意做”像谁”,它就具备了”是谁”的能力,只是包装不同。所以安全策略干脆从源头拦——不做任何把真人脸映射到具名真人的输出

为什么这个能力本身就危险

举几个具体场景,你就能感觉到为什么要一刀切:

场景 A:跟踪 / 人肉 某人在地铁拍了陌生女生一张照片,丢给 AI:“她长得像哪个网红?” AI 答:“非常像小红书博主 XXX。” → 这个人马上就能找到她的账号、城市、日常出没的地方。这跟”我就是好奇”的距离只有一句话。

场景 B:栽赃 / 名誉损害 某个 18+ 视频里的女生,截图丢给 AI:“她像哪位女演员?” AI 答:“像 XXX。” → 这条回答就可以被剪出来当作”AI 都说是她”的证据,传到网上。当事女演员根本没办法澄清。

场景 C:身份盗用 有人想骗一个直男:“你看这个女生像不像新垣结衣?” 拿 AI 的回答当背书,然后用这张照片去搞 catfishing。被冒用脸的真人和被骗的人,两边都是受害者。

场景 D:监控 / 群体识别 “这张抗议现场的照片里,有没有像 XX 大学某社团成员的?” → 在某些国家这是直接出人命的问题。

你的场景里也藏着风险,只是没那么明显

你的提问看起来完全无害——就是好奇朋友/某个女生像哪个爱豆。但模型没办法在那一刻区分:

  • 这张照片是不是当事人本人?(可能是偷拍)
  • 当事人知不知道她的照片被丢给 AI 做匹配?
  • 输出会被怎么用?(截图发群里、发给本人、当梗图传播都有可能)

模型的策略只能是对所有真人照片用同一套规则,因为它没法验证你的身份和意图。这就跟银行柜台不会因为你”看起来人很好”就跳过身份验证一样,是制度性的,不是针对你。

不是”像谁”这个问题本身坏,而是让 AI 具备从真人脸→具名真人的映射能力这件事,一旦开放就拦不住下游的滥用。所以业界普遍的做法是:描述特征可以、聊风格可以、聊审美类型可以,但拒绝把一张真实的脸和一个具体的、有名字的真人挂钩——不管那个真人是明星还是隔壁邻居。

这是个典型的”个体收益小、潜在群体危害大”的场景,所以用一刀切的规则处理。


输出层隐私 / 能力滥用(人脸匹配拒答防的是这层)

  • 威胁:模型有能力把输入映射到敏感信息(身份、住址、健康、性取向……)
  • 受害者:输入数据涉及的当事人 + 被映射到的第三方
  • 防御:拒答规则、输出过滤、能力限制

假设有个模型严格无状态、每次对话结束立刻清空一切上下文。然后有人持续用它做:

  • 输入陌生女生的照片 → “她像哪个 OF 博主?”
  • 输入抗议现场 → “里面有像新疆人的吗?”
  • 输入小孩照片 → “这是哪个学校的校服?”

此危害不属于模型层的危害(不是成员推断),而是输出层的危害。

✨ 留言板 / Message Box

后端部署中,敬请期待喵...