EY 网络安全报告充斥“幻觉引用”：大型咨询公司的 AI 信任危机

背景

今年早些时候，GPTZero 的一名工程师创造了“氛围引用”（vibe citing）这一术语，用来描述由大型语言模型（LLM）幻觉导致的虚假参考文献的意外生成。事实证明，创建和核实引用的繁琐过程，正促使许多研究人员、顾问、律师和公共官员选择拥抱这种“氛围”（即依赖 AI 生成的看似合理但未经核实的内容）。

在这些“皈依者”中，包括了一份 2025 年发布的安永（Ernst & Young, EY）报告《攻击点：揭秘忠诚度系统中的网络威胁与欺诈》（Points of Attack: Uncovering Cyber Threats and Fraud in Loyalty Systems）的作者。这份充斥着虚假引用和不实主张的报告，如今频繁出现在报纸、博客文章和 AI 搜索摘要中，正在毒化人类研究人员和 AI 代理所依赖的数据池。

GPTZero 于 2025 年开始利用其“幻觉检查”（Hallucination Check）工具针对“氛围引用”进行打击，此前该工具已被用于调查一份政府出版物、两份不同的德勤（Deloitte）报告，以及 NeurIPS 和 ICLR 等知名机器学习/人工智能会议提交的论文。在过去几个月中，我们建立了一个自动化管道，通过查找和扫描主要咨询公司的公开报告来搜索“氛围引用”。我们的发现表明，这种引用泛滥的流行病已经根深蒂固，甚至在大厂中也未能幸免。

我们没有一次性发布所有结果，而是决定一次聚焦于一份报告。这种方法既防止了个别案例被忽视，也让我们能够说明“氛围引用”对研究质量和公众信任的负面影响。

核心内容

目标对象：安永（EY）

安永是全球“四大”咨询公司之一，在全球 150 多个办事处为政府和企业实体提供会计和咨询服务。其加拿大成员公司（EY Canada）每年向加拿大政府提供价值数百万美元的服务。

2025 年底，EY Canada 发布了一份题为《攻击点：揭秘忠诚度系统中的网络威胁与欺诈》的 44 页网络安全报告。虽然该文档署名三位员工（两名合伙人及一名高级经理），但实质上是一份由“氛围引用”、错误归因、虚假统计数据以及 AI 生成文本拼凑而成的作品。

为何“氛围引用”是有害的

EY Canada 的报告未使用脚注或标准的学术引用格式，而是直接在正文中引用来源，或在资源表（第 41-43 页）中包含来源。该表格提供了所有来源的标题、描述和 URL，并在某些情况下注明了出版商和日期。然而，几乎所有 URL 都已失效或是伪造的，超过一半的标题并不对应真实的来源。

GPTZero 对“幻觉”的定义非常严格，以避免误报带来的声誉风险（既对我们，也对报告作者）。我们的一名团队成员手动验证了“幻觉检查”工具的结果以确保准确性。

在之前对学术会议投稿的分析中，我们发现许多作者主要使用 AI 生成和格式化参考文献，导致论文虽然存在“氛围引用”，但整体 AI 文本得分较低。然而，在《攻击点》报告中，很难找到人类创作的痕迹——甚至比在 LinkedIn 上找到一篇人类写的帖子还难。文本不仅被扫描为 AI 生成，还充斥着常见的 LLM 错误，如虚假统计数据、错误归因和内部矛盾。

具体案例分析

1. 执行摘要中的大胆主张与矛盾数据 在执行摘要中，作者声称全球忠诚积分市场价值为 2000 亿美元，且其中 30%–50% 的积分未被使用。

• 虚假的福布斯引用：上述关于 2000 亿美元全球市场的引用支持了作者的原主张。
• 相互矛盾的主张：然而，在第 10 页，2000 亿美元这个数字变成了“未兑换忠诚积分”的估算值，而非全球所有积分的总价值。既然作者此前已声称多达 50% 的积分未被兑换，那么这一新统计数据意味着全球市场价值至少需要达到 4000 亿美元。
• 第二个伪造的引用：麦肯锡：紧接着，一份伪造的麦肯锡（McKinsey & Company）报告为后一种主张（即全球未兑换积分价值为 2000 亿美元）提供了证据。两个伪造的引用，两个不相容的数字。
• 相似的声称：在 EY 报告发布前六个月，一篇发表在 obscure 英国金融科技杂志 Financial IT 上的博客文章声称，“每年有超过 2000 亿美元的积分闲置”。其语言与 EY 报告几乎完全相同。
• 氛围完全一致：该博客的来源部分引用了“麦肯锡公司：忠诚经济学报告（2022）”——一份不存在的报告。这一伪造引用逐字出现在 EY 报告的参考表中，将低质量博客中的虚构来源“洗白”为四大咨询公司的出版物。

2. 来源归因错误

• 归因于 Paystone：在第 6 页，作者声称 72% 的客户忠诚度计划报告了盗窃或欺诈行为。这一事实被归因于加拿大支付处理商 Paystone 的一篇 2019 年帖子。
• 实际上是 Forter：然而，在第 11 页，相同的统计数据被归因于另一个来源——由数字欺诈预防公司 Forter 发布的名为“NRF 2020 summary”的不寻常标题文件。这两个来源均未包含在报告的参考表中。事实上，虽然该统计数据在 Paystone 和 Forter 的页面上都有提及，但原始来源似乎是 Ipsos 在 2017 年进行的一项调查。

3. “89%”的主张

• 在第 6 页，作者声称自 2019 年以来，忠诚度计划欺诈攻击增加了 89%。
• 然而，在第 11 页，这 89% 的增长仅限于 2018 年至 2019 年这一单一年份，且该统计数据被归因于特定来源：Forter 的《欺诈攻击指数》（Fraud Attack Index）。令人惊讶的是，该来源确实存在，并部分证实了第二种说法。但是，像 EY 报告中使用的大多数来源一样，它已经严重过时。对统计数据的拙劣改写也是 AI 生成内容（AI slop）的一个标志。

关键要点

• 系统性造假：安永（EY）发布的 2025 年网络安全报告《攻击点》并非严谨的研究成果，而是由 AI 幻觉生成的虚假引用、错误归因、矛盾数据和 AI 文本拼凑而成。
• 引用失效：报告中的参考表显示，几乎所有 URL 均失效或伪造，超过半数的标题无法对应真实存在的来源。
• 数据自相矛盾：报告内部存在严重逻辑冲突，例如对全球忠诚积分市场总值（2000 亿 vs 4000 亿）和未兑换积分价值的描述前后不一，且支撑这些矛盾数据的引用均为伪造（如虚构的麦肯锡报告）。
• 来源洗白：报告直接复制了低质量博客中的虚假引用（如不存在的麦肯锡 2022 报告），将其作为权威来源呈现，完成了从低信源到高信源的“洗白”过程。
• 归因混乱：关键统计数据（如 72% 的欺诈率）被错误地归因于不同的来源（Paystone vs Forter），而原始来源（Ipsos 2017 调查）甚至未被列入参考表。
• 过时与误读：引用的数据来源严重过时，且存在对统计数据的片面解读或拙劣改写。

意义与影响

公众影响有限，但数据污染严重

很难衡量安永这份报告对公众的具体影响。《攻击点》在加拿大似乎未引起太大波澜，但最近被《堪培拉时报》（Canberra Times）引用，并 syndicated 到澳大利亚的 60 多家报纸。它可能也通过客户简报、内部演示文稿和其他非公开传播