来源:锌刻度
撰文 / 陈邓新
编辑 / 高 智
(资料图)
AI,是一柄双刃剑。
既可以成为安全工程师的好帮手,用来寻找潜在的安全威胁以及修复漏洞,也可以成为黑客的利器,用来发动大规模的网络攻击。
这并非杞人忧天。
前不久,网络安全公司Home Security Heroes 发布了一份报告,称使用了一款名为 PassGAN的新型AI工具,51%的常规密码可以在不到1分钟时间内完成破解。
密码破解早已有之,AI下场有何不同?密码破解难度下降,普通人该不该慌?AI时代,“功守道”该如何演绎?
眼下,黑客对AI的兴趣愈发浓烈。
之前,一个名为《ChatGPT–Benefits of Malware》的帖子在黑客圈广为流传,帖子中展示了一个Java片段,可以用来下载盗号木马、勒索病毒、流氓软件等恶意程序。
甚至,一个从未涉足脚本的知名黑客USDoD,在好奇心驱使之下借助 ChatGPT生成了人生第一个可以执行加解密功能的Python脚本,该脚本稍加改造就可以变成勒索病毒。
不过,上述攻击都是模拟的,实际场景更为复杂,真正落地还有很长一段路要走。
尽管如此,外界认为黑客利用AI作恶,只是时间问题。
这次,白帽黑客使用了带AI的PassGAN工具测试了超过 1568万个密码,在不到1分钟时间内成功破解了51%的密码;1个小时破解了65%的密码;1天破解了71% 的密码;1个月破解了81% 的密码。
图源:网络安全公司Home Security Heroes
一名匿名黑客告诉锌刻度:“PassGAN之类的AI工具,拉低了密码破解的门槛,相关的攻击或更泛滥。”
上述匿名黑客进一步表示,普通的密码破解工具,是按照一定的顺序去碰撞(尝试),通俗易懂地说就是暴力破解,引入AI能力之后,分析已知的泄露密码库,归纳密码出现的频率,并率先使用高频密码进行碰撞,碰撞不成功再启用穷举法暴力破解,这考验的是密码的复杂程度,以字母大小写叠加数字的12位非常规密码为例,PassGAN破解需要2000年。
尽管如此,普通人不用慌。
一名安全工程师告诉锌刻度:“最安全的密码就是记不住的密码,但记不住的密码则会带来另外的麻烦,因而实际生活中,短信验证码、人脸识别、第三方账号登录等成为主流。”
一言以蔽之,密码破解的路越走越窄。
但并不能以此放弃警惕之心,毕竟AI对黑客的助力,并不仅仅局限于密码破解,深度伪造、人工智能投毒、人工智能模糊测试等都是研究的方向。
上海市人工智能行业协会秘书长钟俊浩表示:“比起失控的技术,更有可能失控的是用技术来为非作歹的‘人’。比如,恶意使用者可能会利用ChatGPT来制造虚假信息、实施欺诈活动或进行其他不道德行为。防止人工智能作恶,关键在于控制背后的人。”
魔高一尺,道高一丈
好在,防御一方也在拥抱AI。
微软的AI助手工具Copilots使用了Open AI新的GPT-4语言系统和安全领域特定的数据,可以帮助安全人员更快地发现黑客的攻击,且这一工具可以同时处理1000个警报,并在几秒钟内提供安全报告。
也就是说,以前靠人工检测何况攻击,现在依赖AI就可以达到目的,用魔法打败魔法,效率还更高。
事实上,GPT-4上线之初也进行了风险测试。
据外媒报道, Open AI于2022年聘请了50名专家学者,由学者、教师、律师、风险分析师和信息安全研究员组成,对GPT-4这一新模型进行了“定性探索和对抗性测试”,目的是探索并了解在社会上部署先进人工智能系统会造成什么样的风险。
简而言之,AI也成为对抗黑客的利器。
譬如,DefPloreX 是一个机器学习工具包,使用数据可视化技术将非结构化数据转化成有意义的描述,旨在检测互联网上的大规模电子犯罪。
再譬如,Intercept X是一个网络安全工具,利用深度学习功能变被动防御为预测防御,可防止已知威胁和从未见过的威胁。
总而言之,黑客进入AI时代,试图借助新技术再上一个台阶,这对安全圈而言是一个不容忽视的挑战,好在也可以提高防御的水平。
那么,魔高一尺,道高一丈。
标签:
