每秒7万笔交易。

这是Mastercard在去年12月假期高峰期面临的恐怖流量。

想象一下,全球无数人在同一时刻刷卡、点击“购买”,数据像海啸一样涌来。而在这些合法交易的洪流里,混入了一群伪装得极好的骗子。

要在不到300毫秒的时间内——也就是你眨一下眼都还没完成的时候——把那些脏钱挑出来,还不能误伤正常用户。这简直是在走钢丝。

说实话,以前这种活儿主要靠运气和简单的规则,骗子很容易就能绕过去。但现在,事情变得有意思了。

Mastercard搞出了一个叫 Decision Intelligence Pro (DI Pro) 的东西,他们要把这场“猫鼠游戏”的规则彻底改写。

AI配图

一场和时间的赛跑

“我们试图解决的根本问题,是实时评估。”

Johan Gerber 是 Mastercard 安全解决方案的执行副总裁,他在最近的播客里把这事儿说得很直白。从你刷卡的那一刻起,数据流过 Mastercard 的编排层,再回到网络,最后到达发卡银行。这一整套流程,通常必须在300毫秒内跑完。

银行最后拍板说“通过”还是“拒绝”,但这决策的质量,全看 Mastercard 给出的风险评分准不准。

以前我们觉得,找欺诈就是找“异常”。

但这有个大坑:有时候你突然买了个大件,或者去了个没去过的国家,行为确实异常,但这真的是你本人干的。

Mastercard 的逻辑变了。他们不找异常,找的是“匹配”。## 把欺诈检测做成“推荐算法”

这招挺绝的。

DI Pro 的核心是一个循环神经网络(RNN),Mastercard 把它叫做“逆向推荐器”架构。

什么意思?

大家都刷过抖音或者淘宝吧?算法会猜你喜欢什么商品,然后推荐给你。Mastercard 干的事儿其实差不多,只不过它是反着来的。

它会问:“基于这个用户过去所有的行为,他现在出现在这个商户,合不合理?如果是推荐算法,我们会推荐这个商户给他吗?”Chris Merz,Mastercard 的数据科学高级副总裁,解释得更细。

他说他们把欺诈问题拆成了两块:用户的模式,和骗子的模式。

“我们要做的,就是把这两者剥离出来。”

如果这笔交易看起来像你平时干的事儿,那就放行;如果它看起来更像是一个骗子会干的事儿——哪怕金额不大,行为也不算太“异常”——那就要警惕。

AI配图

把一年的知识塞进50毫秒

这里有个很现实的难题:数据主权。

数据得留在本地,得符合当地的法律和隐私规定,不能随便乱传。但骗子可是全球流动的啊,光靠本地的数据够用吗?

Mastercard 的解决方案有点“取巧”。

他们用的是聚合后的、完全匿名化的数据。既然不涉及隐私敏感信息,那就可以放心地喂给全球的模型。

Gerber 说得很形象:“我们仍然可以让全球模式影响每一个本地决策。”

“我们把一年的知识压缩进一笔交易里,在50毫秒内给出判断:好的,或者坏的。”

这信息密度,确实有点吓人。

用蜜罐反杀骗子有意思的是,AI 也在武装骗子。

现在的骗子利用 AI,开发新技术的速度快得离谱,总能找到新的漏洞。

既然如此,那就去骗子的地盘上打架。

AI配图

Mastercard 开始用一种叫“蜜罐”的技术,简单说就是布置一些假环境,专门等着骗子来咬。

当骗子以为自己钓到了大鱼,开始跟 AI 代理互动,试图把钱转走的时候,其实他们已经暴露了。

Gerber 提到,这招之所以“威力巨大”,是因为骗子最后总得把钱弄出来。他们需要一个合法的账户,哪怕中间隔了十层洗钱网络,只要找到一个“骡子账户”,防御者就能用图技术把整个欺诈网络给画出来。一旦连点成线,那就是一张全球欺诈地图。

“当我们主动出击时,感觉真棒,” Gerber 说,“毕竟他们已经让我们够头疼了。”

老实讲,这种“以彼之道还施彼身”的打法,比单纯被动防守要痛快得多。

别让那一千朵花乱开

除了技术,Mastercard 还提到了一点,我觉得很多公司都该听听。

很多企业搞 AI 项目,喜欢搞“百花齐放”,恨不得同时搞一堆项目,看哪个能活下来。

Mastercard 以前也这么干,但现在他们变了。他们搞了个叫 DSERD(数据科学工程需求文档)的东西,强行把四个独立的工程团队拉到同一个频道上。

他们强调“无情的优先级排序”。

只有那些真正有强大商业影响力的项目,才能活下来。那些只是听起来很酷,但落不了地的,直接砍掉。

Gerber 还提到一个观点:成功的 AI 部署得有三个阶段——构思、激活、实施。

但很多公司,直接跳过了“激活”这一步。

这确实是个大坑。没有中间的验证和激活,想法再好也是空中楼阁。## 写在最后

在这场看不见的战争里,时间是最昂贵的货币。

300毫秒,决定了你是买到心仪的礼物,还是给骗子交了学费。

当 AI 在两边同时开火,谁能更快地适应、更精准地判断,谁就能活到最后。

只不过,看着这些巨头用越来越复杂的算法互搏,我偶尔也会想:

未来的我们,还能分清屏幕对面是人,还是一段精妙的代码吗?

参考链接:
https://venturebeat.com/orchestration/what-ai-builders-can-learn-from-fraud-models-that-run-in-300-milliseconds