2022 年底,公开可用的生成式人工智能工具的推出使我们进入了人类历史上最大的技术革命之一。
一些人声称它的影响与互联网、手机、智能手机和社交媒体的引入一样大,甚至更大。这些新的生成式人工智能技术的采用和发展速度是我们以前从未见过的。
虽然这场人工智能革命有很多影响,但让我们关注网络安全世界。
生成式人工智能工具旨在成为熟练的副驾驶。当谈到道德黑客或白帽子时,许多人已经承认依靠人工智能来自动化任务、分析数据、识别漏洞等。
我们可以假设黑帽也正在使用人工智能。尽管我们无法真正调查黑帽,但有证据表明他们正在使用人工智能来查找应用程序和平台中的漏洞,快速运行侦察操作以查找零日漏洞并分析其数据。
随着生成式人工智能聊天机器人消化每一条数据,它们的数据库呈指数级增长并且变得更加准确。这样,它们就可以被操纵以暴露应用程序、平台、软件以及安全工具和机制中的漏洞。他们甚至可以编写代码来绕过应用程序的安全层。
当生成式人工智能落入坏人之手时,它可以被用于各种恶意目的。这些只是不良行为者招募人工智能作为副驾驶的几种方式:
网络钓鱼攻击:人工智能强大的编辑能力使其成为生成网络钓鱼活动的完美副驾驶。人工智能可用于生成写得好的、看起来真实的电子邮件、登陆页面、URL 和短信。
因此,它为更多非英语恶意行为者进入游戏打开了大门。例如,在人工智能的帮助下,他们现在可以更轻松地在全球范围内发起更有说服力、更高质量的网络钓鱼攻击。
在人工智能出现之前,我们经常会因为语法不正确或措辞异常而发现恶意登陆页面、电子邮件或短信。现在,区分合法内容和人工智能生成的虚假内容变得更加困难。考虑到这一点,我们预计未来不仅会看到更多的网络钓鱼活动,而且会出现更成功的活动。
恶意代码库的分发:生成式AI也可以作为副驾驶,加速代码开发。不过,我的建议是,如果您在构建应用程序时使用 AI Chat 工具下载代码库,请谨慎行事。
不良行为者正在用恶意代码库淹没人工智能数据库,并将它们传播到开发环境中。这就是为什么在使用库之前通过检查创建日期和下载计数来仔细审查库尤为重要。
请记住,即使具有多次下载历史的库也可能是恶意的。我强烈建议避免完全使用人工智能工具来下载代码库和包。这根本不值得冒这个风险。
更聪明的机器人。。。还有更多:在人工智能副驾驶的帮助下,恶意行为者现在可以操纵人工智能聊天,轻松构建新的高级机器人脚本,也称为零日机器人。
似乎这还不够,新的人工智能聊天工具是专门为邪恶目的而设计的,并在暗网上提供。这些工具可帮助黑客和欺诈者生成新的自动化脚本以实现其恶意网络目的。
随着人工智能的出现,我们可以预见这种糟糕的机器人情况将会变得更糟。如今,30% 的互联网流量是由恶意机器人驱动的,这个数字未来肯定会上升。
标准机器人防护工具将无法防御这些新的人工智能生成的机器人脚本数量和种类不断增加的情况。随着更复杂的人工智能生成的机器人绕过传统的验证码挑战,验证码也可能会消亡。
为了充分保护组织,需要一种新的检测形式,无论是独特的自定义挑战、基于区块链的加密挑战、新的证明和基于身份的用户验证服务,甚至是人工智能生成的用于机器人缓解的挑战。
生成式人工智能工具落入坏人之手是一个严重的威胁,这就是为什么必须对其使用进行适当的监管。有了人工智能副驾驶,黑客就会变得更聪明、更快十倍。他们可以将发现漏洞所需的时间缩短 90%,并在修补旧漏洞时随时推出新漏洞。
不幸的是,监管落后于技术。为了填补这一空白,安全团队必须部署先进的应用程序保护解决方案,使用行为算法在零日攻击发生之前实时自动检测和阻止它们。
