文章总结： 该文档揭露了实时深度伪造工具昊天AI如何被整合进东南亚诈骗产业链，具备通过虚拟摄像头在Zoom等平台实时换脸的能力。关键发现包括其采用订阅制商业模型、基于开源模型封装的技术构成，以及传统视觉检测方法的失效。防御建议强调需将视频通话降级为辅助验证手段，并引入独立通道确认机制。 综合评分： 85 文章分类： 威胁情报,恶意软件,安全意识,解决方案,安全工具

---

【防骗宣传】实时换脸昊天 AI 与东南亚诈骗园区的技术供应链

原创

独眼情报 独眼情报

独眼情报

2026年5月10日 14:50 湖北

在小说阅读器读本章

去阅读

感觉这篇文章可能会被和谐，已经是删减大量内容的版本，还被和谐我也懒得说了，公众号的尺度不说了，不补档！我觉得这个信息挺重要的，可以让人多留一个心眼，看技术达到什么程度了。我是真的很好奇这种内容到底是黑产在投诉，还是反诈宣称的人在投诉啊？能后台和我说说吗？

长话短说

2026 年 5 月 7 日，记者 Joseph Cox 发布调查，记录了其获得并实测一款名为「昊天 AI」的中文实时深度伪造软件。该工具可以在 WhatsApp、Zoom、Microsoft Teams 等视频通话场景中，将操作者的面孔实时替换为其他人的脸，并通过虚拟摄像头把合成后的视频流送入主流会议和社交平台。

这次披露的真正意义，不是「又出现了一款换脸软件」，而是实时深度伪造正在从炫技工具进入诈骗工业链。订阅制收费、定制人脸模型、USDT 支付、中文技术支持、远程安装、线下交付、Telegram 销售渠道、与东南亚诈骗园区的需求连接，共同构成了一条「深度伪造即服务」的犯罪技术供应链。

三件事最值得重视。

第一，昊天 AI 已不是实验室原型，而是持续创收的商业化工具。公开调查显示，它以年订阅、定制人脸模型和客服支持的方式销售，并使用加密货币收款。这说明实时换脸能力已经被包装成可购买、可交付、可维护的商品。

第二，昊天 AI 的核心壁垒不一定是完全自研模型，而更可能是「开源模型封装 + 安装服务 + 客服支持 + 灰产渠道」。公开逆向分析显示，它使用了 InsightFace 维护的 inswapper 人脸交换模型。换句话说，真正危险的不是单个算法，而是开源能力被重新包装成诈骗者可以直接使用的成品工具。

第三，传统深度伪造检测路线已经暴露明显缺口。以 Xception 为代表的部分视觉检测模型，在面对昊天 AI 这类实时换脸样本时出现严重误判。这不能简单理解为「所有检测器全部失效」，但足以说明：依赖单一视频画面、单一视觉破绽或肉眼观察，已经不能承担高风险身份核验任务。

对企业和个人的直接含义是：从现在开始，「刚才已经视频确认过」不能再被当作强身份核验依据。凡是依赖视频画面确认身份的流程，包括 KYC 自拍活体检测、跨境视频签约、远程入职、视频客服核验、视频会议中的大额转账指令，都需要重新设计。

技术拆解：这款工具实际能做什么

上图为麦格鲁，下图为深度伪造的对比图

实时人脸替换

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

独眼情报已关注

分享视频

，时长00:14

0/0

00:00/00:14

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

/

00:14

00:14

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清 流畅

继续观看

【防骗宣传】实时换脸昊天 AI 与东南亚诈骗园区的技术供应链

观看更多

转载

,

【防骗宣传】实时换脸昊天 AI 与东南亚诈骗园区的技术供应链

独眼情报已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

AI 换脸视频，非产品宣传视频，只是作为演示，警示作用

昊天 AI 的基本能力是在视频通话中将操作者的脸实时替换为目标人物的脸。它不是直接篡改 WhatsApp、Zoom 或 Teams 客户端，而是通过虚拟摄像头输出合成画面。

这意味着视频会议软件看到的可能只是一个「合法摄像头输入」。只要系统允许用户选择虚拟摄像头，攻击者就可以把合成后的视频流送入通话。对应用层防御来说，这比传统恶意插件更难处理，因为视频平台本身并不一定能直接判断摄像头画面是否已经被上游软件处理过。

遮挡和动作处理

早期实时换脸工具经常在手部遮挡、转头、摸脸、强光变化等场景下出现明显破绽。但公开实测显示，昊天 AI 在捏脸、遮鼻、摸下巴等动作下仍能保持较稳定的换脸效果。

这会削弱过去常见的「让对方在脸前挥手」「让对方转头」「让对方做夸张表情」等自助检测方法。所谓「三指测试」可能仍能识别部分低质量工具，但已经不能作为强验证手段。

研判：依赖单一视觉破绽的检测方法天然会进入对抗循环。一旦某个破绽被广泛传播，工具开发者就会优先修复它。普通用户靠肉眼识别深度伪造的空间会越来越小。特别是我看到有人通过 AI 识别黑客的文风达到给黑客画像就想笑，你都用 AI 了，黑客会纯手打文字吗？🐶

面部参数微调

昊天 AI 并不只是把一张脸简单贴到另一个人脸上。公开材料显示，它可以对面部特征进行细节调节，例如嘴唇、鼻子、眼睛、下颌、肤质等。这类功能会让攻击者不断优化冒充效果，使合成结果更接近目标人物。

对杀猪盘、冒充亲友、冒充公司高管、冒充执法机构等场景来说，这种细粒度调参会显著提高社工可信度。攻击者不需要理解模型原理，只需要在客服指导下不断试错，就能获得更具欺骗性的画面。

KYC 绕过模块

昊天 AI 宣称新增 KYC 绕过模块，可通过虚拟摄像头输入应对自拍活体检测。公开演示显示，攻击者可以不直接出镜，而是把合成后的视频流送入验证流程。

目前公开信息只能证明供应商宣称并演示了这种能力，不能证明它能稳定绕过具体 KYC 厂商的活体检测系统。哪些厂商受影响、成功率多高、是否需要特定配置、是否只对弱活体检测有效，都仍需要独立测试。

它实际上由什么构成

从公开逆向信息看，昊天 AI 的核心并不一定是完全自研模型。研究人员识别出其中使用了 InsightFace 维护的 inswapper 人脸交换模型。这个模型原本面向研究和非商业用途，但被灰产工具重新封装，进入诈骗场景。

这带来一个重要判断：昊天 AI 的真正危险性，不在于它独占了某个不可替代的模型，而在于它把分散的开源能力、虚拟摄像头、安装配置、定制人脸模型、中文客服、Telegram 销售、USDT 收款、线下安装服务和诈骗园区客户群串成了一套低门槛交付链。

对非技术诈骗者而言，最值钱的不是「模型论文」，而是「付钱后有人帮我装好、调好、教会我用」。

研判：这类工具标志着深度伪造进入「服务和支持才是壁垒」阶段。即使某个底层模型被下架、某个仓库被关闭、某个频道被删除，类似能力仍可能通过模型复刻、私有分发、灰产打包继续扩散。

它的危险性来自开源能力与犯罪产品化能力的结合。

检测能力：不是「全部失效」，而是「传统路径被显著压缩」

以 Xception 为代表的一类传统视觉检测模型，在面对昊天 AI 这类实时换脸工具时已暴露严重鲁棒性缺口。依赖单一画面分类器、单一视觉破绽或社交媒体转码后的视频文件检测，都不足以承担高风险身份核验任务。

对防御方而言，未来更可行的方向不是让普通用户肉眼找破绽，而是把检测和风控前移到流程、设备、账户、行为和交易上下文中。

具体包括：

• 设备侧：识别虚拟摄像头、异常视频驱动、远控安装痕迹；
• 会话侧：识别异常延迟、音视频不同步、表情与语音不一致；
• 账户侧：识别新设备、新地理位置、新登录环境和异常代理；
• 交易侧：对高风险操作引入独立通道确认、延迟执行和人工复核；
• 组织侧：禁止把视频会议中的口头指令作为大额转账或权限变更的唯一依据。

防御建议

对企业 CISO、风控负责人和财务负责人

第一，视频通话必须从「身份锚点」降级为「辅助信号」。涉及转账、合同签署、权限开通、供应商付款、工资账户变更、关键岗位入职等高风险操作时，不能仅凭视频会议中的口头确认执行。

第二，高敏操作必须引入独立通道确认。可选机制包括：回拨企业通讯录中预留号码、通过内部 IM 二次确认、硬件令牌签名、审批系统工单确认、延迟执行和双人复核。视频通话可以参与判断，但不应成为唯一授权依据。

第三，可以使用预设密钥词，但只能作为辅助控制。密钥词可能被历史聊天记录、内部泄露或社工套取，因此不能替代硬件令牌、企业审批流和财务双签制度。

第四，审计虚拟摄像头和远控软件。企业终端应监控异常虚拟摄像头驱动、未知视频输入源、远程控制软件安装、显卡异常调用和可疑 AI 工具目录。尤其是客服、财务、HR、招聘、合规和高管助理岗位，应纳入重点基线检查。

第五，录制敏感视频会议前必须满足合规要求。若企业要归档涉及资金、合同或权限变更的视频会议，应明确告知、授权、保留周期、访问控制、加密存储和删除机制，避免安全措施转化为隐私与劳动合规风险。

对金融、加密货币、招聘和远程入职平台

如果业务依赖第三方 KYC 或自拍活体检测，应向供应商索要针对当代实时深度伪造工具的独立评估报告，尤其是针对 inswapper 系列模型变体、虚拟摄像头输入、视频注入、远程桌面环境、设备指纹绕过等场景的测试结果。

若厂商只能提供传统照片伪造、录屏攻击或旧式 deepfake 数据集测试结果，应按「未验证」处理。旧检测能力评估不应被直接用于今天的风险判断。

对 OSINT 和威胁情报分析师

来自 Telegram、暗网论坛、社交媒体的视频自证材料可信度需要下调。特别是「本人露脸澄清」「老板视频下令」「执法人员视频联系」「投资顾问视频确认」等材料，不能仅凭画面中的面孔、表情和动作判真。

相对更可靠的路径包括：核验账号历史、设备与地理元数据、链上资金流、域名和证书历史、发布节奏、语言风格、操作安全失误、关联电话号码、历史头像素材来源、同一人脸模型在多处复用痕迹。

视频本身仍然有价值，但它应被当作待验证素材，而不是身份证明。

对个人用户

涉及金钱、账户、亲友求助、警察或政府身份的陌生视频通话，应默认存在伪造可能。

不要在通话中转账、交出验证码、下载远控软件、提供身份证件照片或点击对方给的新链接。应通过此前已知的可信通道回拨核实，例如通讯录旧号码、线下确认、企业官网公开电话、银行官方 App 或已保存的客服入口。

可以询问非公开信息，但不要依赖生日、宠物名、学校、公司、亲属关系等社交媒体可查信息。更好的方式是中断通话，通过独立通道核实。

公开材料显示，昊天 AI 演示场景中出现过执法机构元素，说明供应商至少在营销层面将「冒充执法机构」作为潜在场景。但目前公开信息尚不足以证明已经发生了基于昊天 AI 冒充具体执法机构的案件。

冒充执法机构的视频诈骗已经是现实威胁，实时深度伪造正在降低这类冒充的门槛；但不能把演示材料直接写成已发生案件。

结论

昊天 AI 的意义不在于它一定是最先进的换脸工具，而在于它把实时深度伪造变成了可购买、可安装、可客服支持、可接入诈骗园区流程的商业化能力。

这类工具改变了三个默认假设。

第一，视频中的脸不再天然代表身份。

第二，深度伪造不再只属于有技术能力的攻击者，而可以通过订阅和安装服务交付给普通诈骗人员。

第三，防御重点不能停留在「看画面找破绽」，而必须转向流程控制、独立通道确认、设备侧检测、行为风控和资金流拦截。

最终判断：昊天 AI 是东南亚诈骗工业链中一个具有代表性的技术供应商样本。它本身未必是唯一供应商，也未必掌握不可替代的核心模型，但它证明了实时深度伪造已经完成从「工具」到「服务」再到「犯罪基础设施组件」的转变。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 独眼情报 独眼情报《【防骗宣传】实时换脸昊天 AI 与东南亚诈骗园区的技术供应链》