2026 年 4 月 4 日,勒索组织 Lapsus$ 在泄露网站上发布了一个标题:Mercor。随之而来的是 4TB 的数据——里面装着超过 40,000 名 AI 数据标注员的完整声纹档案。每条记录包括:政府签发的身份证件扫描件、网络摄像头自拍、以及每人两到五分钟的录音室级纯净语音样本。
这个泄露事件在 Hacker News 上飙到 278 分、111 条评论,但大多数人还没意识到它意味着什么。这不是普通的"密码泄露,改一下就行"——声音是生物特征,你不能"重置"自己的声音。
为什么这次泄露是灾难性的
过去十年的语音泄露大致分两类:一是呼叫中心被黑,录音被盗但无法关联到具体身份;二是身份证经纪人泄露驾照和自拍,但没有音频。Mercor 把这两列合并了——同一个人,同一行数据库里,既有声音又有证件。
《华尔街日报》2026 年 2 月的报道指出,目前市面上的声音克隆工具只需要 15 秒 的干净参考音频就能生成高质量克隆。而 Mercor 泄露的样本每人平均有 2-5 分钟 录音室级语音。这相当于给了攻击者一本"克隆手册",附带受害者的身份证照片。
密码泄露了可以改。声音泄露了,你这辈子都换不了嗓子。
攻击者能拿你的声音做什么
以下不是推测,每一项都是在本次泄露之前就已经有真实案例的攻击手段:
1. 银行语音验证绕过
美国和英国的多家银行仍然将声纹匹配作为双因素认证之一。克隆的声音可以通过音频验证门,剩下的知识问答往往也来自同一套泄露数据。一穿二。
2. 针对雇主的语音钓鱼(Vishing)
冒充员工给 HR 或财务打电话,要求重定向工资、发起电汇或解锁工作站。Krebs on Security 档案记录了 2023 年以来超过 24 起已确认案例。
3. 深度伪造视频通话
2024 年,香港 Arup 公司一名财务员工在多人深度伪造视频通话后被诈骗转账约 2500 万美元。那次用的是公开素材。Mercor 泄露的比公开素材好一万倍——录音室音频加经过验证的身份证。
4. 保险欺诈
Pindrop 报告显示,2025 年针对保险客服中心的合成语音攻击同比增长 475%。车险、寿险、残疾险是主要目标,因为它们通过电话理赔。
5. 针对家人的诈骗
FBI 互联网犯罪投诉中心记录,2026 年 60 岁以上受害者损失达 23 亿美元。增长最快的单一类别是紧急冒充电话——合成声音声称是遇到麻烦的亲属。
⚠️ 关键数字
- 泄露规模:4TB,覆盖 40,000+ 人
- 克隆门槛:仅需 15 秒 干净音频
- 人均样本:2-5 分钟 录音室级语音
- 合成语音攻击年增长:475%
- 老年人诈骗损失(2026):$23 亿
- 已有 5 起 承包商诉讼在泄露后 10 天内提起
AI 训练数据的阴暗面
Mercor 的事情揭示了一个更深层的问题:AI 产业对数据标注员的剥削式采集。这些人为了每小时几美元的报酬录制语音,签署的协议模糊到让他们不知道自己交出的不仅是"训练数据",还是永久性的生物特征标识。
五起诉讼在十天内提起。原告的核心论点:公司以"训练数据"的名义收集声纹,却没有明确告知这是一种永久性生物特征标识。这和当年 Facebook 收集面部数据的套路如出一辙——唯一的区别是,面部识别争议至少吵了十年才有人重视,而语音克隆的门槛已经降到了 15 秒。
我们构建 AI 的方式,正在制造下一波身份盗窃浪潮。每一次你要求用户"读这段话"来做"语音验证",你可能都在给攻击者准备弹药。
如果你曾经给 AI 公司录过音,该做什么
这篇不贩卖焦虑,给实际建议:
- 设置家庭暗号。选一个从未在录音中说过、也从未在聊天中打过的短语。告诉所有能经手你钱财的人:任何要转账的电话,必须对上暗号。
- 删除并更换所有声纹注册。Google Voice Match、Amazon Alexa Voice ID、Apple Personal Voice、银行声纹——全部删掉,从新的录音环境重新注册。
- 联系银行关闭声纹验证。书面要求改用 App 令牌或硬件密钥 + 知识因子的多因素认证。很多银行允许关闭声纹作为主要验证方式,只是他们不宣传。
- 清理公共音频足迹。搜索 YouTube、播客目录、旧的 Zoom 录中你的声音样本。能删的删。公开的参考音频越少,攻击者的克隆质量越差。
- 收到可疑音频先检测再行动。如果有人声称是你认识的人,要求钱、权限或紧急情况,先跑一遍深度伪造检测再回应。
法医级别的检测手段
当一段音频摆到取证分析师桌上时,第一轮检查看的是合成声音总是会出错的几个细节:
- 编解码器不匹配:音频声称来自电话通话,但频谱签名不匹配任何已知电信编解码器
- 呼吸模式异常:真实说话者在短语长度和肺容量决定的可预测位置换气。合成语音经常跳过呼吸或在错误的音节边界插入呼吸
- 微抖动缺失:自然声带振动有微小的不规则性。生成的音频在毫秒级往往"太干净"
- 共振峰轨迹异常:元音转换遵循真实口腔中物理发音器官的路径。克隆声音有时会在共振峰之间走不可能的捷径
- 空间声学不一致:混响特征应该从文件开始到结束一致。生成的音频往往是干的,而拼接上下文有混响
- 韵律扁平化:合成语音的音调和能量变化通常比真实说话者更窄
- 语速稳定性异常:真人会根据内容加速减速。生成的语音倾向于在整个段落保持节拍器般的速率
ORAVYS 的取证团队声称对每个提交的样本并行运行超过 3,000 个取证引擎,涵盖信号、韵律、发音、编解码器和来源域。他们还为 Mercor 泄露受害者提供免费的前三次样本检测服务。
尾声:声音是不可撤销的密码
在 AI 时代,我们最大的脆弱性不是被机器取代,而是被机器复制。你的声音、你的面孔、你的打字习惯——这些都是你无法重置的身份要素。当这些东西被收集、存储、然后泄露时,后果远比密码泄露严重。
Mercor 泄露是一个警钟。它提醒我们:每一次为了"训练 AI"而采集的生物特征数据,都是在给未来的攻击者制造武器。我们需要的不只是更好的安全法规,而是从根本上重新思考——我们是否真的需要这么多生物特征数据?
数据来源:Lapsus$ 泄露网站索引(2026年4月)、华尔街日报语音克隆报道(2026年2月)、Pindrop 语音智能报告 2025、FBI IC3 老年人欺诈报告 2026、Krebs on Security 档案。