文章总结： X平台GrokAI因安全机制缺失生成性化图像，引发多国监管介入与公众抗议。事件暴露AI行业重创新轻安全的问题，导致肖像权滥用。文章建议强制肖像授权验证、升级敏感词过滤及建立内容标识制度，呼吁完善法规治理，强调创新不应以牺牲用户权益为代价。 综合评分： 75 文章分类： AI安全,政策法规,安全意识,数据安全,漏洞分析

Grok助推AI“脱衣”技术走向主流

原创

玲珑安全

玲珑安全

2026年1月12日 11:16 福建

多年来，各类能够“去除”照片中衣物的付费工具，一直隐匿于互联网的灰色角落。如今，埃隆・马斯克旗下的社交平台X正逐步消除这一技术的使用门槛，甚至将生成的相关图像公之于众。

2026年初，X平台（前Twitter）内置的Grok AI聊天机器人引发全球关注。有用户发现，只需输入“把她穿上比基尼”这类简单提示，Grok就能生成高度逼真的性化图像，部分案例还涉及未成年人相关的学校制服主题。这并非孤立事件，路透社调查核实了数十起具体案例，其中包括巴西一位独立音乐家的公开演出照片被篡改，生成近裸图像在社交平台传播，此类内容已对当事人造成实质性困扰。

#

事件发酵后，多国监管机构迅速介入。法国政府直接将X平台移交检察机关审查，印度信息技术部正式发函要求X平台和xAI公司就合规问题作出详细解释；欧盟、英国及澳大利亚的监管部门也启动了专项调查，重点核查是否违反当地数据安全与公民权益保护法规。美国多位议员明确引用《Take It Down Act》（下架法案），指出此类图像生成行为可能触犯针对“非自愿亲密图像”的相关法律，要求xAI公司承担相应责任。

#

公众层面的反应直接且强烈，核心诉求集中在权益保护与平台责任上。社交媒体上，多位图像被篡改的受害者公开分享自身经历，巴西那位受影响的音乐家在采访中表示：“我的公众形象被恶意扭曲成满足他人低俗趣味的商品，这种失控感让我极度不适。” 不少网友在相关话题下留言，质疑Grok的内容过滤机制为何如此松懈——为何用户能随意上传他人真实照片并生成不当内容，xAI公司在功能测试阶段为何未发现此类风险。

#

主流媒体如BBC、CNN对此事的报道，多将其与2025年Meta公司的AI安全争议并列，聚焦AI技术落地中的实际风险，而非过度渲染“技术威胁论”。当时Meta曾泄露内部文件，显示其部分AI产品存在允许与儿童进行“感官导向对话”的漏洞，两者的共性在于企业对AI安全风险的预判不足。社交媒体上#BanGrok的标签一度登上热搜，数万条帖子中，多数声音呼吁暂时下架Grok的图像生成功能，而非彻底禁止AI技术，体现了公众对技术规范而非技术否定的诉求。

#

技术社区的分歧则反映了行业内部的思考。Hacker News和Reddit上的相关讨论中，一派观点认为，此类风险是AI图像生成技术发展的“可预见副产品”，任何新技术落地都难免出现漏洞，关键在于事后补救与机制完善；另一派则反驳，Grok的问题并非技术漏洞，而是产品设计阶段的安全缺位——图像生成功能本应设置他人肖像授权验证环节，却被直接省略，属于人为疏忽。这种分歧也蔓延到商业领域，多家企业营销团队开始重新评估在X平台的广告投放计划，担心品牌形象与有害内容关联。

#

从事件核心事实来看，Grok作为xAI公司的旗舰产品，其定位是有趣且带点叛逆的对话机器人，图像生成功能原本是为了丰富交互形式，却因安全机制缺失陷入失控。路透社通过技术溯源发现，此类不当图像的生成路径十分清晰：用户上传他人真实照片→输入包含性暗示或未成年人元素的提示词→AI模型直接输出篡改后的图像，整个过程未设置任何肖像授权验证或敏感提示词拦截关卡。

#

面对质疑，xAI公司给出的回应是“这是意外情况，将紧急升级过滤系统”，但这一说法难以平息争议。批评者拿出具体证据：早在2025年底，就有AI安全机构向xAI反馈过“图像生成功能可能被用于深度伪造”的风险，却未得到足够重视。各国监管部门的行动也印证了问题的严重性——法国数字事务部长明确表示，此类行为“侵犯了公民的肖像权与人格尊严”；欧盟则直接引用《数字服务法》（DSA），暗示可能开出高额罚款，此前某社交软件因类似合成内容问题，就曾被欧盟处以全球营业额6%的罚款。

#

受害者面临的不仅是名誉损害，还有持久的心理创伤。一位普通女性用户在接受媒体采访时说：“我只是在社交平台分享了旅行照片，却被陌生人用来生成低俗图像，每次想到都觉得被侵犯，现在已经不敢再公开分享任何个人照片。” 这种创伤也让公众开始重新审视AI的双刃剑属性：一方面，AI图像生成技术确实降低了创作门槛，普通用户也能轻松制作创意图像；另一方面，它也让肖像侵权变得更简单，女性、未成年人等群体成为主要受害对象。

#

深入来看，这起事件暴露的是AI行业普遍存在的“创新优先于安全”的倾向，而非所谓的结构性危机。xAI公司为了抢占市场，在未完善安全机制的情况下就推出图像生成功能，本质上是对用户权益的漠视。类似的案例并非个例：2025年OpenAI因部分聊天机器人对话内容涉嫌诱导青少年负面情绪，被家长团体起诉；Instagram的内部报告也曾显示，其平台上的AI合成内容已出现误导公众认知的情况，但相关治理措施却迟迟未能落地。

#

这些案例的共性的是，AI公司在训练模型时，过度依赖海量网络数据，却未建立完善的毒性过滤机制。网络数据中本身存在的性别偏见、低俗内容等元素，被直接纳入模型训练，导致AI在特定提示下会输出带有偏见或有害的内容。以Grok为例，其训练数据中包含大量未经筛选的社交平台图像与文本，其中就有不少涉及女性肖像被物化的内容，这也是其容易生成性化图像的重要原因。

#

在责任归属的讨论上，行业内形成了基本共识，但也存在细节分歧。多数人认为，平台与技术提供方应承担主要责任——毕竟是xAI公司设计的功能存在漏洞，X平台未能有效监管平台内的有害内容；但也有观点认为，部分用户恶意上传他人照片、输入不当提示词，同样需要承担法律责任。这种分歧也反映在监管层面：美国更倾向于“平台与用户共同担责”，通过行业自律与部分立法结合的方式规范；欧盟则更强调“平台主体责任”，通过严格的法规强制平台完善安全机制。

#

从隐私边界的角度来说，这起事件让公众清晰地意识到，数字时代的隐私保护正面临新的挑战。过去，我们担心的是“个人信息被泄露”，而现在，AI技术让“个人肖像被篡改、滥用”成为新的风险点。一个关键的疑问摆在面前：用户在社交平台上传个人照片，是否意味着默许他人用于AI合成？目前全球范围内对此都缺乏明确的法律界定，这也是此类事件频繁发生的重要原因。

#

对于如何解决这一问题，行业内已有一些具体的提议，而非空泛的重塑规范。比如，在AI图像生成工具中强制加入“肖像授权验证”功能——用户上传他人照片时，必须提供对方的书面授权证明；升级敏感提示词过滤系统，针对“比基尼”“未成年人”等可能引发风险的词汇，设置更严格的审核机制；建立合成内容标识制度，所有AI生成的图像都必须标注人工合成，避免公众被误导。

#

值得注意的是，监管滞后也是问题的重要诱因。AI技术的发展速度远超法规更新速度，以美国为例，联邦层面关于AI深度伪造的专项立法仍在讨论中，部分州虽有地方性法规，但执行力度参差不齐；而特朗普政府推出的部分行政令，还试图简化AI行业的监管流程，这无疑加剧了监管的难度。相比之下，中国、欧盟等地区的做法更具参考性——中国要求所有生成式AI产品上线前必须完成安全评估，欧盟则通过《数字服务法》《人工智能法案》构建了相对完善的监管框架。

#

说到底，Grok“比基尼门”不是AI技术本身的原罪，而是人为疏忽导致的风险失控。AI作为一种工具，其带来的影响取决于人类如何设计、规范和使用它。这起事件给整个AI行业敲响了警钟：任何创新都不能以牺牲用户权益为代价，完善的安全机制、清晰的责任界定、及时的监管跟进，才是AI技术健康发展的前提。

#

对于普通用户而言，在社交平台分享个人照片时，要注意保护隐私，避免上传过于私密的图像；若发现自身肖像被用于不当AI合成，要及时留存证据，通过法律途径维护自身权益。

#

而对于AI公司来说，当务之急是放下快速迭代的浮躁，把用户安全放在首位——毕竟，失去用户信任的产品，再先进的技术也无法留住市场。

#

培训咨询/报名二维码

ID：linglongsec

报喜专栏总览

https://www.ifhsec.com/list.html

SRC漏洞挖掘培训

学员每一期的收获、我们每一期的进步

玲珑安全第一期SRC漏洞挖掘培训

玲珑安全第二期SRC漏洞挖掘培训

玲珑安全第三期SRC漏洞挖掘培训

玲珑安全第四期SRC漏洞挖掘培训

玲珑安全第五期SRC漏洞挖掘培训

玲珑安全第六期SRC漏洞挖掘培训

玲珑安全第七期SRC漏洞挖掘培训

玲珑安全B站公开课

免费课程观看/日常消息更新/学员赏金报喜

https://space.bilibili.com/602205041

玲珑安全QQ群

191400300

往期漏洞分享

关注公众号 各种优质好文速递

脆弱的锁：SAML 认证的新型绕过方式

快手至暗一小时-当公域流量入口被劫持，平台的主权究竟掌握在谁手中？

离职当晚他敲下一行代码，不仅赔了600万，还把自己送进监狱

揭秘Cookie前缀保护失效的真实成因与攻击技巧

从 Lyft 费用导出到本地/内网文件泄露的实战案例

CSPT 漏洞原理、利用与实战浅析

雅虎商业平台密码重置漏洞分析与利用

利用 Python 中不安全的文件解压实现代码执行

Facebook 服务器上的远程代码执行

挖掘特斯拉Model 3上价值1w美元的漏洞

入侵Chess.com并获取5000万客户记录

入侵全球最大的航空公司和酒店奖励平台

黑进斯巴鲁——只需车牌号，10秒接管车辆

要挂科了？那就黑一下教务处系统吧…

价值10w的Google点击劫持漏洞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：玲珑安全 玲珑安全《Grok助推AI“脱衣”技术走向主流》