17岁高中生借助ChatGPT写出攻击工具，侵入日本最大网咖致725万用户信息外泄！AI拉低作案门槛引发警示

正文：

生成式AI的“两面性”再度敲响警钟。日本警方最新通报称，国内最大连锁网咖“快活CLUB”（Kaikatsu Club）今年1月发生大规模数据泄露，幕后竟是一名17岁的高二男生。该少年通过规避ChatGPT的安全限制，借助AI生成并完善恶意程序，非法获取约725万条会员个人信息，包含姓名、地址、电话、会员编号等敏感数据。

 AI成“黑客孵化器”? 少年绕过平台防线写出攻击脚本

调查显示，这名嫌疑人来自大阪关西一带，虽非职业黑客，但自学编程多年，曾在信息安全竞赛中获奖，技术基础扎实。其主要手法包括：  

– 向快活CLUB服务器发送伪造的API请求，规避身份验证;  

– 使用自动化脚本批量抓取会员数据库内容;  

– 行动一度导致公司部分系统停摆，运营受到重创。

关键在于，核心攻击代码由ChatGPT生成。尽管主流AI平台设有多重防护、限制输出恶意软件，但该少年通过“话术包装”（将攻击代码描述为“渗透测试”或“安全研究用工具”），诱使AI给出具有实战能力的攻击载荷。

 动机出乎意料：为买宝可梦卡片试图盗刷信用卡

警方表示，少年最初的目标是获取会员绑定的信用卡信息，用于线上购买宝可梦卡。被捕后，他辩称是在“测试网站漏洞”，但警方指出其带有明显不法目的，且未依照合法漏洞披露流程，已涉嫌不正当指令电磁记录等刑事犯罪。

 专家提醒：AI显著拉低网络攻击门槛

网络安全专家称，本案凸显生成式AI在安全领域的隐患：  

– 技术门槛下降可能意味着犯罪门槛同步下降——过去需要多年积累的黑客能力，如今借助AI数小时内即可复刻;  

– 自然语言的灵活性让平台限制易被绕开——只要不断调整提示词，AI可能被诱导输出危险内容;  

– 即便平台强化过滤，“AI+人工微调”的组合仍可能产出隐蔽性更强的恶意代码。

“我们正逼近一个‘人人都可能成为黑客’的时代，”一位匿名安全研究员表示，“防守方需要从‘补漏洞’转向‘预判AI被滥用的路径’。”

 深度观察：当AI被当作犯罪“同谋”，安全边界有待重塑

这并非孤例。进入2025年，全球陆续曝出多起借助AI生成钓鱼邮件、勒索软件及深度伪造诈骗工具的案件。监管与科技公司面临两难：  

– 限制过严，可能压制AI在安全研究、教学等正当场景的价值;  

– 放任不管，又恐催生新一代“AI赋能型犯罪”。

专家建议，平台应建立代码生成的溯源与审计机制；企业要加强API安全与异常行为监控；同时，法律层面需明确诱导AI生成恶意内容的法律责任。

当一句“帮我写个测试脚本”能引爆725万人的数据灾难，AI的“无害前提”已不再成立。未来的网络安全，不仅要防人，更要防被滥用的智能。