近期,15岁少年利用技术手段导致“万代频道(Bandai Channel)”近4.6万名会员被强制退会的事件,引发了社会广泛关注。媒体报道中频繁出现的“利用ChatGPT创建攻击程序”的字眼,极易让人产生一种错觉:仿佛AI已经具备了自主发动网络攻击的能力。作为一名长期关注数字合规的专业人士,我认为有必要对此进行“祛魅”。这起事件并非“AI攻击人类”,而是典型的“生成式AI辅助下的自然人犯罪”。厘清这一界限,对于正确理解技术风险、界定法律责任以及完善企业合规至关重要。

一、事实还原:AI是“翻译”,少年才是“主谋”
根据警方披露的细节与多家媒体(ITmedia、NHK、读卖新闻)的报道,我们可以清晰地梳理出此次事件的真实逻辑链条:
步骤 | 行为主体 | 具体行为 | 技术/法律定性 |
1. 漏洞挖掘 | 少年本人 | 出于兴趣对通信数据进行解析,发现了系统无需ID和密码即可登录的认证漏洞。 | 非法侵入计算机信息系统(预备阶段) |
2. 程序编写 | 少年本人 | 利用自学编程知识,自制了能够调用退会接口的攻击程序。 | 制作黑客工具(核心犯罪行为) |
3. AI辅助 | ChatGPT | 因自写程序执行退会处理过慢,利用AI将代码转换为另一种编程语言以提高效率。 | 代码转换/优化工具(中性技术) |
4. 实施攻击 | 少年本人 | 运行优化后的程序,批量操作他人账号进行退会处理。 | 破坏计算机信息系统罪/ 伪计业务妨害罪(既遂) |
核心结论:少年供述“(运营公司)没有恨意,只是因为能登录的账号有很多”。他并非因为AI而犯罪,而是出于好奇心和炫耀心理(“偶然看到会员信息”),利用AI解决了“代码效率低”这一技术障碍。AI在此案中扮演的是“加速器”和“翻译官”的角色,而非“决策者”。
二、专家视角:网络攻击的“民主化”与合规警示
正如网络安全专家大元隆志(CISO Advisor)所指出的,此类案件揭示了生成式AI带来的“双面性(Dual-use Dilemma)”——它既是创新的引擎,也是犯罪门槛的粉碎机。
犯罪门槛的“平民化”
以往,发动网络攻击需要具备深厚的编程功底。现在,即便是像本案中这位15岁少年那样仅有基础能力的“脚本小子(Script Kiddie)”,也能借助AI(如ChatGPT、Claude等大语言模型LLM, Large Language Model)填补技术空白,将模糊的犯罪意图转化为可执行的代码。这导致了网络犯罪的“民主化(Democratization of Cybercrime)”——门槛越低,潜在的攻击者基数越大。
企业防御的“滞后性”
本案中,万代频道系统存在“无密码登录”的严重漏洞,这才是攻击得逞的根本原因。少年供述“能登录的账号有很多”,直接证明了系统防护的脆弱。这警示所有企业:生成AI不仅能被攻击者利用,更应被防御者利用。 企业应当使用AI工具进行常态化的漏洞扫描(Vulnerability Scanning)和渗透测试(Penetration Testing),在攻击者利用漏洞前进行自我修复。
三、咨询机构/专业人士的合规建议
针对生成式AI被滥用于网络犯罪的趋势,我向各机构及从业人员提出以下三点建议:
修正认知:AI是“杠杆”,不是“黑箱”
不要被“AI自动攻击”的假象迷惑。在任何涉及AI辅助的网络犯罪中,“人的主观故意”始终是定罪量刑的核心。咨询机构在为客户提供合规培训时,应强调“工具中性”原则:菜刀能切菜也能伤人,责任在使用者。
强化内控:防范“内部AI滥用”
不仅是外部攻击,内部员工利用AI辅助窃取数据、编写恶意脚本的风险同样存在。企业应建立“AI可接受使用政策(AUP, Acceptable Use Policy)”,明确禁止利用公司资源进行未经授权的代码编写或网络探测,并对代码仓库进行合规审计。

提升素养:面向下一代的“技术伦理教育”
本案及乐天移动、快活CLUB等案件均显示,涉案者多为中高中生,动机多为“好奇”或“想出名”。这暴露了传统IT教育只教技术、不教伦理的短板。咨询机构可协助学校和企业设计“负责任的AI使用(Responsible AI Use)”课程,强调“数字公民素养(Digital Citizenship)”——技术能力越大,责任越大。万代频道事件中,少年的那句“没有恨意”,恰恰是最令人担忧的地方。这意味着他对自己的行为可能造成的严重后果(企业商誉受损、数万用户权益受影响)缺乏基本的敬畏。生成式AI没有善恶,但使用AI的人心有善恶。法律惩罚的不是AI,而是利用AI作恶的人。对于企业而言,与其恐惧AI被滥用,不如尽快利用AI武装自己,修补好那扇“没有上锁的门”。
【附录:生成AI辅助网络犯罪相关法律风险速查表】
风险场景 | 法律定性(中国刑法参考) | 合规建议 |
利用AI生成恶意代码 | 涉嫌提供侵入、非法控制计算机信息系统程序、工具罪(第285条第3款)。 | 严禁使用AI编写木马、病毒、钓鱼脚本等。 |
利用AI优化攻击脚本 | 涉嫌破坏计算机信息系统罪(第286条)或非法获取计算机信息系统数据罪(第285条第2款)。 | 不得将AI用于任何形式的未授权渗透测试或漏洞利用。 |
利用AI伪造身份/证据 | 涉嫌诈骗罪(第266条)或伪造、变造、买卖国家机关公文、证件、印章罪(第280条)。 | 严禁使用AI生成虚假身份证明、伪造公文印章。 |
企业内部AI代码审计 | 企业合规义务。 | 建立代码仓库扫描机制,识别并阻断包含恶意逻辑或高危漏洞的AI生成代码。 |
编辑手记:技术无罪,但好奇心若无敬畏之心引导,便会滑向深渊。希望这起案件能成为一堂生动的法治课,不仅给青少年,也给所有忽视系统安全的成年人。
夜雨聆风