AI���,是一柄雙刃劍�。
【資料圖】
既可以成為安全工程師的好幫手�,用來尋找潛在的安全威脅以及修復(fù)漏洞,也可以成為黑客的利器�,用來發(fā)動大規(guī)模的網(wǎng)絡(luò)攻擊。
這并非杞人憂天����。
前不久���,網(wǎng)絡(luò)安全公司Home Security Heroes 發(fā)布了一份報告,稱使用了一款名為 PassGAN的新型AI工具�����,51%的常規(guī)密碼可以在不到1分鐘時間內(nèi)完成破解��。
密碼破解早已有之�,AI下場有何不同?密碼破解難度下降�����,普通人該不該慌����?AI時代����,“功守道”該如何演繹?
常規(guī)密碼�,一分鐘破解
眼下,黑客對AI的興趣愈發(fā)濃烈�����。
之前��,一個名為《ChatGPT–Benefits of Malware》的帖子在黑客圈廣為流傳,帖子中展示了一個Java片段���,可以用來下載盜號木馬�����、勒索病毒��、流氓軟件等惡意程序�����。
甚至����,一個從未涉足腳本的知名黑客USDoD�����,在好奇心驅(qū)使之下借助 ChatGPT生成了人生第一個可以執(zhí)行加解密功能的Python腳本�,該腳本稍加改造就可以變成勒索病毒。
不過����,上述攻擊都是模擬的�����,實際場景更為復(fù)雜���,真正落地還有很長一段路要走。
盡管如此��,外界認(rèn)為黑客利用AI作惡�����,只是時間問題����。
這次�����,白帽黑客使用了帶AI的PassGAN工具測試了超過 1568萬個密碼�����,在不到1分鐘時間內(nèi)成功破解了51%的密碼�;1個小時破解了65%的密碼;1天破解了71% 的密碼�;1個月破解了81% 的密碼。
圖源:網(wǎng)絡(luò)安全公司Home Security Heroes
一名匿名黑客告訴鋅刻度:“PassGAN之類的AI工具����,拉低了密碼破解的門檻,相關(guān)的攻擊或更泛濫����。”
上述匿名黑客進(jìn)一步表示�,普通的密碼破解工具,是按照一定的順序去碰撞(嘗試)�,通俗易懂地說就是暴力破解,引入AI能力之后����,分析已知的泄露密碼庫,歸納密碼出現(xiàn)的頻率��,并率先使用高頻密碼進(jìn)行碰撞�����,碰撞不成功再啟用窮舉法暴力破解,這考驗的是密碼的復(fù)雜程度�����,以字母大小寫疊加數(shù)字的12位非常規(guī)密碼為例�����,PassGAN破解需要2000年����。
魔高一尺,道高一丈
盡管如此�����,普通人不用慌���。
一名安全工程師告訴鋅刻度:“最安全的密碼就是記不住的密碼���,但記不住的密碼則會帶來另外的麻煩��,因而實際生活中����,短信驗證碼�����、人臉識別����、第三方賬號登錄等成為主流��?��!?/p>
一言以蔽之��,密碼破解的路越走越窄�。
但并不能以此放棄警惕之心���,畢竟AI對黑客的助力���,并不僅僅局限于密碼破解,深度偽造���、人工智能投毒�、人工智能模糊測試等都是研究的方向。
上海市人工智能行業(yè)協(xié)會秘書長鐘俊浩表示:“比起失控的技術(shù)��,更有可能失控的是用技術(shù)來為非作歹的‘人’��。比如����,惡意使用者可能會利用ChatGPT來制造虛假信息、實施欺詐活動或進(jìn)行其他不道德行為����。防止人工智能作惡,關(guān)鍵在于控制背后的人���?����!?/p>
好在��,防御一方也在擁抱AI�����。
微軟的AI助手工具Copilots使用了Open AI新的GPT-4語言系統(tǒng)和安全領(lǐng)域特定的數(shù)據(jù)����,可以幫助安全人員更快地發(fā)現(xiàn)黑客的攻擊����,且這一工具可以同時處理1000個警報,并在幾秒鐘內(nèi)提供安全報告�����。
也就是說�����,以前靠人工檢測何況攻擊��,現(xiàn)在依賴AI就可以達(dá)到目的�����,用魔法打敗魔法��,效率還更高�。
事實上,GPT-4上線之初也進(jìn)行了風(fēng)險測試���。
據(jù)外媒報道����, Open AI于2022年聘請了50名專家學(xué)者,由學(xué)者��、教師�、律師、風(fēng)險分析師和信息安全研究員組成�����,對GPT-4這一新模型進(jìn)行了“定性探索和對抗性測試”��,目的是探索并了解在社會上部署先進(jìn)人工智能系統(tǒng)會造成什么樣的風(fēng)險����。
簡而言之,AI也成為對抗黑客的利器�����。
譬如���,DefPloreX 是一個機(jī)器學(xué)習(xí)工具包��,使用數(shù)據(jù)可視化技術(shù)將非結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)化成有意義的描述��,旨在檢測互聯(lián)網(wǎng)上的大規(guī)模電子犯罪�。
再譬如�����,Intercept X是一個網(wǎng)絡(luò)安全工具�����,利用深度學(xué)習(xí)功能變被動防御為預(yù)測防御�,可防止已知威脅和從未見過的威脅。
總而言之�����,黑客進(jìn)入AI時代����,試圖借助新技術(shù)再上一個臺階,這對安全圈而言是一個不容忽視的挑戰(zhàn)�����,好在也可以提高防御的水平。
那么�����,魔高一尺��,道高一丈����。
關(guān)鍵詞:
營業(yè)執(zhí)照公示信息