人工智慧對資安的潛力與挑戰
積極的一面
人工智慧(AI)以及大型語言模型(LLMs)的潛力被廣泛討論,可能會顛覆安全行業。從一方面來看,人工智慧和 LLMs 的積極影響不容忽視。這些新工具可能幫助編寫和掃描程式碼,補充工作不足的團隊,實時分析威脅,並執行各種其他功能,以提高安全團隊的準確性、效率和生產力。隨著時間的推移,這些工具可能還能夠承擔今天安全分析師厭惡的平凡而重複的任務,使他們有時間從事更有意義、需要人類注意和決策的工作。
然而人工智慧和 LLMs 仍處於相對初期的階段,這意味著組織仍在努力確保如何負責任地使用它們。除此之外,安全專業人員並不是唯一認識到人工智慧潛力的人。對安全專業人員有利的事物通常對攻擊者也有利,今天的對手正在探索如何利用人工智慧進行惡意活動。當我們認為某些東西對我們有幫助時,它卻開始傷害我們,會發生什麼情況?當技術的威脅潛力超過其作為資源的潛力時,我們最終會達到一個臨界點嗎?隨著技術的進步和普及,理解生成型人工智慧的能力以及如何負責任地使用它將至關重要。
生成型人工智慧和大型語言模型的應用
生成型人工智慧模型如 ChatGPT 可能徹底改變我們對待程式設計和程式碼的方式。的確,它們還不能從頭開始建立程式碼(至少當前還沒有這種能力)。但是如果你有一個應用程式或程式的想法,生成型人工智慧可能能夠幫助你實現它。這種程式碼可以被視為起草稿,可能不完美,但是可以作為一個有用的起點。而且修改現有程式碼要比從頭生成程式碼容易得多(並且更快)。將這些基礎任務交給能幹的人工智慧意味著工程師和開發人員可以自由地從事更符合他們的經驗和專業的任務。
然而生成型人工智慧和大型語言模型根據現有的內容生成輸出,無論是來自開放網際網路還是特定的資料集。這意味著它們擅長於在前人工作的基礎上進行迭代,而這對攻擊者來說可能是一個利器。例如,AI 可以使用相同的詞彙集合建立內容的多個版本,同樣,它可以建立類似於現有程式碼的惡意程式碼,以逃避檢測。利用這項技術,惡意行為者將生成獨特的載荷或攻擊,旨在逃避建立在已知攻擊簽名周圍的安全防禦。攻擊者已經開始使用人工智慧開發網頁殼體變體,這些惡意程式碼用於在被入侵的伺服器上保持永續性。攻擊者可以將現有的網頁殼體輸入生成型人工智慧工具中,然後要求它建立惡意程式碼的變體。這些變體通常與遠端執行程式碼(RCE)漏洞一起在被入侵的伺服器上使用,以逃避檢測。
大型語言模型和人工智慧為更多的零日漏洞和複雜攻擊提供了基礎。資金充裕的攻擊者擅長閱讀和掃描源程式碼以尋找漏洞,但這個過程需要大量時間和高水準的技能。大型語言模型和生成型人工智慧工具可以幫助這些攻擊者,甚至那些技能較低的人,透過分析常用開源專案的源程式碼或反向工程商業軟體來發現和執行複雜攻擊。在大多數情況下,攻擊者會使用開源的 LLMs,因為這些模型沒有相同的保護機制來防止這種惡意行為,且通常免費使用。結果將是零日漏洞和其他危險攻擊數量的爆炸增加,類似於 MOVEit 和 Log4Shell 漏洞,這些漏洞使攻擊者能夠從易受攻擊的組織中外洩資料。
不幸的是,一般組織的程式庫中已經存在數以萬計甚至數十萬個未解決的漏洞。隨著程式員將生成型人工智慧程式碼引入無需進行漏洞掃描,我們將因為程式設計實踐不當而看到這些數位上升。國家級攻擊者和其他技術先進的組織將準備好利用這一情況,而生成型人工智慧工具將使他們更容易做到這一點。
謹慎前進
解決這個問題並非易事,但組織可以採取一些步驟,確保以安全和負責任的方式使用這些新工具。其中一種方法與攻擊者採取的方法一樣:使用人工智慧工具在程式庫中掃描潛在的漏洞,組織可以在攻擊者發動攻擊之前識別到程式碼中潛在的易受攻擊部分,並加以修復。這對於希望使用生成型人工智慧工具和大型語言模型幫助程式碼生成的組織尤為重要。如果人工智慧從現有程式庫中提取開源程式碼,必須確保不引入已知的安全漏洞。
今天的安全專業人員對於使用和普及生成型人工智慧和大型語言模型所持有的顧慮是非常真實的,這一點被一群科技領袖最近敦促「暫停人工智慧」以應對社會風險的行動所強調。儘管這些工具有可能使工程師和開發人員的工作效率大幅提高,但現今的組織在使用這些工具之前必須謹慎考慮並實施必要的安全措施,避免讓人工智慧無法受到控制。
Peter Klimek 是 Imperva 技術長辦公室(CTO Office)內的技術總監。
延伸閱讀
- 在 AI 領域的女性:Tara Chklovski 正在教導下一代的 AI 創新者
- 本週人工智慧大事記:生成式人工智慧與創作者補償的問題
- 蘋果 AI 計劃揭祕:從財報中學到的三件事
- 特斯拉 CEO 為人工智慧新創公司籌集 60 億美元,TikTok 是否在逃避蘋果的傭金?
- Allozymes 以加速酶學應用於資料和人工智慧,籌集 1500 萬美元
- 在 TC 的 Techstars 調查內部以及人工智慧如何加速殘障科技
- Microsoft 禁止美國警察局使用企業人工智慧工具
- 你的 AI 原生新創公司並非一般的 SaaS 公司
- Airbnb 釋出團體訂房功能,並整合人工智慧以提升客戶服務
- 歐洲殘障科技新創如何利用人工智慧?
