我们为何会上黑客的当？怪我们的大脑——《华尔街日报》

安全专家总是责怪员工让犯罪分子进入公司网络。员工不理会屏幕上的警告信息。他们不看内容就关闭警报。他们看不到电子邮件是伪造的明显迹象。他们不假思索地点击附件。

然而，我们的研究表明，另一个应该为忽视警告负责的罪魁祸首是人类大脑。我们大脑工作方式的特殊性影响了我们的许多行为，包括我们如何回应安全警告。

我们和我们在神经安全实验室的合作研究者——杨百翰大学的邦妮·安德森和杰弗里·詹金斯，以及Carve Systems的大卫·厄格尔——花了近11年研究这个问题。我们使用了功能性磁共振成像（fMRI）和脑电图（EEG）等大脑测量方法，以及眼动和鼠标光标跟踪等行为测量方法，以更好地理解人们如何回应警告。

以下是阻碍我们回应安全警告能力的三种无意识神经过程——以及我们如何更好地设计这些警告以克服这些倾向。

多任务处理的迷思

许多人认为他们擅长多任务处理，但人类大脑实际上在这方面表现糟糕——人们一次只能接收和处理有限的信息。大脑必须优先考虑如何最佳分配其有限的资源。

所以，无论人们怎么说多任务处理，同时执行两项任务会导致两者表现都更差，这种现象被称为双任务干扰。

例如，如果有人一边听车载广播一边寻找停车位，他们很难同时专注于这两项任务。为了弥补这一点，许多人会调低收音机音量以避免分心。

而这只是相对轻微的干扰案例。毕竟，听和看是独立的大脑功能，因此分心效应并不那么严重。人们可以克服它。然而，当人们试图同时做两件相似的事情时，克服干扰就变得困难得多。任务越相似，分心效应就越严重。

例如，当某人正埋头查看电子表格，同时突然需要阅读弹出的警告时，情况会变得非常棘手。人们往往会忽略警告以继续手头的工作。

在我们使用功能磁共振成像（fMRI）的研究中，我们观察到大脑中出现了双任务干扰现象。研究参与者进入MRI扫描仪，在计算机上执行一项涉及短期记忆的任务。在他们工作时，我们用网页浏览器的警告打断了他们的任务。

结果是：对警告信息的遵从性大大降低。相比之下，当警告在记忆任务完成后立即显示时，我们没有观察到双任务干扰，人们更加重视警告信息。没有中断，就没有干扰。

同样，在另一项针对850人进行的在线测试中，我们发现，在双任务干扰较低的时候（例如人们刚看完YouTube视频或正在等待文件下载时）显示安全信息——使对警告的遵从性提高了45%。

就像小孩子学习如何在不打断对话的情况下加入谈话一样，软件设计应当先感知用户当前操作，再决定是否弹出警告信息。当然某些情况必须立即警示——比如检测到危险网站时。

但对于那些非紧急的安全提示（例如安全上网的常规建议），完全可以延迟到更合适的时机展示。比如浏览器可以设定仅在关闭标签页/窗口时，或检测到鼠标长时间静止（表明用户可能空闲）时，才弹出这类安全提示。

习惯性忽略的陷阱

另一个问题源于人类对安全警告的适应性反应（神经科学称为"习惯化"）。就像大脑会自动忽略房间里持续运转的空调声——这种过滤机制会屏蔽那些持续存在却无关紧要的刺激，这也解释了为什么人们会逐渐对曾经刺眼的墙纸视而不见。

同样地，大脑对重复出现的计算机警告（如软件更新提示）会自动降低关注度。我们的fMRI实验显示，从第二次看到相同警告开始，大脑反应活性显著降低——意味着用户更可能忽视警告——且每次重复时这种活性衰减会持续加剧。

这意味着你看到某个软件需要更新的消息越频繁，你就会越不留意。最终，你甚至可能在关闭消息前都不会注意到它。

为了解决这个问题，我们设计了每次显示时外观都会变化的警告，比如将警告全部变为红色、添加感叹号，或者放大或晃动警告——这些对于软件开发人员来说都相对容易实现。通过改变外观，习惯化现象大大减少，在三周的试验期内，遵守率提高了超过20个百分点（从64%提高到87%）。

看起来都一样

当大脑更广泛地应用习惯化时，问题会变得更严重，这种现象被称为刺激泛化或简称泛化。我们会对一个刺激变得如此习惯，以至于不仅忽略它，还会开始忽略其他具有相似特征的刺激。例如，如果你听到背景中的高速公路交通声，你的大脑会忽略不同但相似的声音，比如汽车引擎声。我们只有在听到与众不同的声音时——比如交通中的汽车喇叭声——或者有意识地注意这些声音时，才会注意到背景噪音。

这对于安全警告来说可能是一个大问题，因为长期以来，程序员一直追求用户界面外观和感觉的一致性。例如，操作系统中的所有菜单可能看起来都一样，这样人们更容易导航。

问题是，现在安全警告在视觉外观和用户交互方式上与其他通知高度相似。新消息提醒可能与关于打开潜在危险下载文件的警告看起来非常相似。

更糟的是，人们全天频繁接收大量与安全无关的通知。最近一项研究发现，手机用户平均每天会收到218条通知，从天气新闻提醒到短信和社交媒体帖子无所不包。不出所料，人们逐渐对所有通知习以为常——因此常将重要的安全警告误判为无害信息而忽略。

为研究该问题，我们进行了实验：部分受试者在测试期间先接收普通通知，再收到安全警告；另一组则直接接收警告而无前置通知。对于接收过通知的组别，部分安全信息被设计成与通知外观相同，另一些则不同。

当安全警告与其他通知外观相同时，受试者忽视警报的概率比未接收通知组高出1.6倍。但当警报以差异化形式呈现——例如显示在屏幕不同位置或添加感叹号——两组间的差异便消失了。

显然，视觉上区分警报与其他信息能显著改善效果。但导致认知泛化的不仅是警告与通知的外观相似性，还包括我们对二者响应方式的相似性。

当人们反复执行某项任务——比如系鞋带时，会形成无需思考就能完成的肌肉记忆。在计算机操作中，人们习惯通过点击"确定"或"取消"来关闭通知，这种模式我们称之为"点击关闭"。久而久之，人们会形成不阅读内容就关闭所有弹窗的肌肉记忆——导致安全警告与其他通知被同样机械地关闭。

我们在另一个在线实验中验证了这点：将传统的点击关闭警告与需要滑动屏幕滑块才能关闭的警告进行对比。在一系列通知后，按钮式警告被忽视的概率高出2.8倍，而滑块式警告的忽视率则未出现类似增长。

这表明，改变用户与弹窗的交互方式可以打破肌肉记忆，促使用户有意识地思考警告内容。用"长按关闭"等更复杂的操作替代简单点击，能有效中断用户的自动化行为模式。

这些发现说明，用户并非对安全问题漠不关心：真正问题在于警告的设计方式是否顺应大脑的无意识行为机制。与其要求用户提高警惕性，不如重新设计更符合人类认知特性的安全警告系统。

万斯博士是弗吉尼亚理工大学的商业信息技术教授，也是英联邦网络倡议的研究员。柯万博士是杨百翰大学的心理学和神经科学教授。他们的联系方式是[email protected]。

刊登于2023年2月16日的印刷版，标题为《我们为何会上黑客的当？怪我们的大脑》。