几十年来,人工智能(AI)一直在不断刺激科技领域和流行文化的想象力,自动创建文本、视频、照片和其他媒体的机器学习技术正在蓬勃发展。
近期一款人工智能聊天机器人ChatGPT风靡互联网,它能够通过学习和理解人类语言来进行对话,还能根据聊天的上下文进行互动,甚至能完成撰写邮件、视频脚本、文案、翻译、代码,写论文等任务。
随着ChatGPT的爆火,以此为代表的AI在给人们带来生活乐趣、便利的同时,在网络安全方面的隐患也引发关注。
在网络安全中的应用,重点关注两方面
科技行业一直致力于创建生成型AI,该AI可以响应命令或查询,以生成文本、视频或音频内容,但其无法分析数据和信息并将其情境化,以提供理解。
类似于ChatGPT的生成型AI,能够提供用户所要求的内容,就对威胁行为者具有很大吸引力。
安全团队需要关注:
一方面,在社会工程方面的运用。
AI可以创建大量复杂的网络钓鱼电子邮件与逼真的虚假配置文件。研究人员已发现有用户通过ChatGPT来开发恶意软件,虽然代码编写能力、质量、结果好坏参半,但也从一定程度上加速恶意软件的开发,提高漏洞利用的可能性和速度。
另一方面,在安全防护上的运用。
为IT和安全团队提供帮助,开展安全防护工作更高效。AI可以实现自动/半自动漏洞检测和修复,以及基于风险的优先级排序,但目前该类型的工具还没有。(也许未来会有,但由于需要进行培训才能理解特定环境中的“正常”,操作可能也会比较复杂。)
ChatGPT已采取措施,但效果不明显
就ChatGPT暴露的安全威胁,开发公司已实施检查以防止恶意使用,但研究人员发现效果其实不佳。比如,提问方式会明显改变ChatGPT响应,包括拒绝恶意请求的有效性。生成型AI工具根据用户给出的命令,可以将恶意软件攻击的所有步骤拼凑在一起,但目前它还没有写出很好的代码。
现在的ChatGPT可以理解成是一个测试版,但不管未来发展如何,生成型AI已经成为威胁行为者“武器库”里的工具。
ChatGPT是否会被滥用,未来威胁将如何演变?
ChatGPT的出现,降低了威胁参与者技术水平要求,不仅扩大潜在威胁数量,同时也增加了威胁行为者数量。
从威胁角度看,在网络安全领域,大量的漏洞结合AI,可以短时间内把漏洞“武器化”,同时,随着对AI技术的不断熟悉,威胁行为者之间也会相互竞争以获得访问权和知名度,导致AI的复杂性增加。
未来,安全团队可能会面对“拥有能够完成整个攻击链的AI”,它将会通过现成工具确定环境和进入勒索软件组织的最佳路径。同时,也将会确定网络、布局和体系结构,然后操纵工具链来混淆有效载荷,以避免防御者发现且无需任何人按下另一个按钮。
ChatGPT这类生成型AI的出现,引发了关于AI技术的新一轮变革和探索,相信未来在国家和多部门的积极引导下,AI会走向更多实际应用场景,在网络安全方面,也会产生更多防护工具。
近期热文
加强API安全,确保电商平台安全经营
收藏!防范零日攻击的基础措施与高级防御
在“云”中创建新的网络安全范式——安全即代码(SaC)
想要了解更多关于网络安全等相关内容,请持续关注安胜ANSCEN
安胜网络成立于2015年4月,经过十余年的行业深耕,安胜已成为国内领先的网络空间安全和大数据智能化综合解决方案提供商。