探析人工智能對網絡安全的真正潛在影響
人工智能會變得更加智能嗎?足以顛覆計算機安全嗎?人工智能已經可以根據人們的要求制作任何風格的藝術作品,而這讓藝術界感到非常驚訝。AI能夠寫詩,能夠利用龐大的存儲數據庫。既然AI能夠像詩人一樣寫詩,又可以提供綜合搜索的最佳結果,那么試想一下,為什么它們不能破除安全協議呢?
沒有人能給出這個答案,因為對于這個問題,答案是復雜的、極具變化的,且讓人捉摸不透的。可以利用人工智能更輕易地保護計算機的某些部分免受攻擊。但是其他部分就沒那么容易了,甚至是永遠無法使用智能,無論是人腦還是人工智能。雖然知道這很困難,但是仍有跡可循。因為AI模型快速發展,人工智能在哪里能用的上,都是未知數。最危險的言辭莫過于:“人工智能永遠不會有危險。”
定義人工智能和機器學習
“人工智能”和“機器學習”術語經常互換使用,但它們并不相同。人工智能是指可以模仿人類行為或超越人類行為的技術。機器學習是 人工智能的一個子集,它使用算法來識別數據中的模式,以便在沒有人為干預的情況下獲得預判。機器學習的目標是幫助人類或計算機做出更好的決策。實際上,今天在商業產品中被稱為人工智能的大部分都是機器學習。
人工智能具有優勢,可以立即對防護和入侵生效。他們可以在大量數據中搜索模式,并經常可以找到將新事件與舊事件相關聯的方法,以此來應對未知。
許多機器學習技術具有很強的統計性,針對計算機系統和加密算法的許多攻擊也具有這種特性。新機器學習工具包廣泛傳播,攻擊者和防御者輕而易舉就可以利用這些算法。攻擊者使用它們來搜索漏洞,防御者使用它們來觀察攻擊者的跡象。
事實上,人工智能有時候也達不到人們的預期,會變成“人工智障”。它只能表達其訓練數據集中的內容,并且可以像計算機瘋狂輸出那樣,用文字表達出來。因為人工智能的使用具有隨機性,因此有些人也將它稱之為“溫度”,像氣候變化一樣不可預測。
人工智能的網絡安全用例
近期大家對ChatGPT一定十分熟悉,有人認為它正在“掀起新一輪AI革命”。那么問題來了,ChatGPT是否會淪為黑客的攻擊工具?
答案是肯定的。有網絡安全研究實驗室發現已有攻擊者在使用 ChatGPT 進行精準投遞釣魚軟件,開展網絡詐騙且已有黑客利用其代碼編寫功能以及信息編寫功能開發出了惡意軟件。
ChatGPT可以自動生成攻擊工具。毫無基礎的新手可以通過ChatGPT自動生成攻擊工具,這樣導致的直接后果是攻擊數量大幅上升。其次,ChatGPT可以快速更新攻擊工具。ChatGPT的迭代和更新速度非常快,同樣會讓攻擊者的能力和攻擊方式加快進化,發現漏洞的時間變短,新的攻擊武器的形成時間也會相應縮短。
比如,黑客在惡意站點"chat-gpt-pc.online",提供了Windows版的ChatGpt的pc客戶端,實則是利用Redline竊密木馬感染訪問者,該頁面使用官方ChatGPT徽標來誘騙用戶重定向到惡意站點。其次,黑客在Google play和第三方Android應用商店推廣虛假的ChatGPT應用,借此將惡意軟件推送到用戶設備上運行。
其實AI對網絡安全行業影響的案例有很多,不止于此,且未來也不會減少。網絡安全是非常復雜的,防御系統需要關注數學、網絡分析和軟件工程的細分領域。更復雜的是,人類是系統的重要組成部分,了解人類的弱點至關重要。
該領域也是許多分支學科的混合體,而且這些分支學科可能非常不同。例如,通過檢測惡意數據包來保護網絡層的方法在強化哈希算法方面可能毫無用處。
Resilian首席執行官Paul Kocher說,“顯然,在某些領域,你可以在人工智能方面取得進展,比如在錯誤搜索和仔細檢查代碼方面,AI比模糊測試(引入小的隨機錯誤以觸發缺陷的過程)更好。”Paul已經探索使用新技術來破解密碼算法了。
有些人使用AI已經爐火純青了。舉個最簡單的例子,可以編纂舊知識并重新應用它。Coinbase的主管Conor Grogan要求ChatGPT查看在以太坊區塊鏈上運行的實時合約,之后GPT列出了一個簡明的弱點列表,并給到了修復它們的建議。
人工智能是如何做到這一點的?人工智能的機制或許是模糊的,但它是基于過去不管什么形式的人們對于人類弱點的公開討論。人工智能能夠將新舊知識關聯,并列舉要解決的問題,所有這些都無需任何自定義編程或專家指導。
微軟開始將這種方法商業化。它訓練了AI Security Copilot,這是ChatGPT4的一個版本,具有協議和加密算法的基礎知識,因此它可以響應提示并協助人類。
有些人正在利用嵌入大型語言模型中的龐大的知識庫。Claroty的研究人員依靠ChatGPT節省時間,ChatGPT提供百科全書式的編碼知識。他們能夠使用ChatGPT編寫攻破漏洞所需的代碼,從而贏得黑客競賽。
攻擊者還可以利用AI的能力來塑造和重塑代碼。ReliaQuest的首席技術官喬·帕特洛(Joe Partlow)表示:“我們真的不知道人工智能實際上是如何“思考”的,你會看到像Codex或Github Copilot這樣的代碼完成模型已經在幫助人們編寫軟件,我們已經發現人工智能生成的惡意軟件變種。舉個例子,利用AI幫助C競賽獲勝者進行模型培訓,幫助設計有效的后門。“
一些成熟的公司正在使用人工智能來監測企業環境中的網絡異常和其他問題,他們依靠機器學習和統計推斷的某種組合來標記潛在可疑行為。
使用AI查找弱點,破解加密
最近一項研究顯示,51%的密碼可以在不到一分鐘內被AI密碼破解。
這意味著,我們使用傳統的密碼保護個人賬戶的方法已經不再安全。這些密碼很可能是常用的、容易猜測或者本身就不夠復雜,給黑客留下了可乘之機。
雖然AI已經被用于尋找漏洞,破解密碼,但是AI對數據流的了解程度是有限的,尤其是那些加密的數據流。如果攻擊者能夠確定哪些加密數據包是好是壞,他們將能夠破壞底層加密算法。
再提一個深層次的問題,人工智能能否在網絡安全的最基層中找到漏洞。目前還沒有重大公告,但已經開始有人各執一詞了,有些人認為可以,而有些人認為不可以。
關于這個問題,尚無清晰的答案。雖然人工智能可能像人類一樣行動,但在它們本質完全不同。大型模型是按多個層次結構排列的統計關系的集合,最近的許多進展都來自于參數和權重數量的快速擴展。
構建大型機器學習模型的許多最常見方法的核心是使用大量的線性數學,將非常大的矩陣和張量的序列鏈接在一起。線性度是算法的關鍵部分,因為它能獲得一些可用于訓練的反饋。
然而,最好的加密算法是被設計成非線性的。像AES或SHA這樣的算法依賴于通過一組稱為S盒的函數傳遞數據來反復加擾數據。這些功能經過精心設計,具有高度非線性。更重要的是,算法的設計者確保它們被檢驗過很多次,確保可以防止一些普遍的統計攻擊。
其中一些攻擊與現代AI有很多共同之處。幾十年來,密碼學家一直通過加密算法使用大量統計數據來對數據流進行建模,其方式與AI對其訓練數據進行建模的方式大致相同。過去,密碼學家利用他們對加密算法的了解來調整統計數據。
最著名的例子之一通常被稱為差分密碼分析。雖然它首先由Adi Shamir和Eli Biham公開闡述,但NIST的數據加密標準等早期算法的一些設計者表示,他們理解這種方法并針對它強化了算法。像AES這樣針對差分密碼分析進行強化的算法應該能夠承受來自AI的攻擊,這些AI部署了大部分相同的線性統計方法。
還有更進一步的基礎問題是許多公鑰算法依賴于具有數千位精度的數字。加州大學圣地亞哥分校的密碼學家Nadia Heninger解釋說:“這只是一個實現細節,但AI可能比這更深入,因為這些模型的權重是浮動的,精度非常重要。”
許多機器學習算法經常在精度上偷工減料,因為在一個草率、俚語和多變的語法時代,在人類語言等不精確的領域無需做得如此精確。那么這也說明一些現成的工具不適合密碼分析,通用算法可能會進行調整,這一方向也已有人開始研究。
更大的規模和大型符號模型可能讓AI威脅加劇
巴菲特曾向記者表示,AI確實帶來了社會變革,但目前尚沒有大規模的實驗結果來支撐人工智能發展對人類有益這一觀點。也就是說,大規模的AI發展影響真的那么大嗎?
如果AI真的能夠更加智能,那么和舊的差分算法相比,AI也許可以找到更多的漏洞,甚至一些原有的技術可以用來更有效地指導機器學習算法。
一些人工智能科學家正在設想如何將大型語言模型的絕對優勢與更合乎邏輯的方法和形式結合起來。部署用于推理數學概念的自動化機制可能比簡單地嘗試模仿訓練集中的模式要強大得多。
《量子時代》的作者、安全研究員西姆森·加芬克爾(Simson Garfinkel)解釋說:“這些大型語言模型缺乏它們實際生成的符號模型,沒有理由假設安全屬性將被嵌入,但已經有很多使用常規方法查找安全漏洞的經驗。”
人工智能研究人員正在努力通過用更好的符號推理嫁接大型語言模型來擴展它們的力量。例如,Wolfram Alpha的開發者之一Stephen Wolfram解釋說:“這是我們的目標之一,現在在 Wolfram 語言中,我們擁有大量事物的內置計算知識,但是對于一個完整的符號話語語言,我們必須建立世界上一般事物的額外'演算':如果一個物體從A移動到B,從B移動到C,那么它就會從A移動到C之類的。”也就是說事物的延申要被考慮進去。
Whitfield Diffie是一位密碼學家,他是公鑰密碼學領域的先驅,他認為像AI這樣的方法可能能夠在新的、未開發的數學領域取得進展。AI的想法可能與人類不同,甚至有自己的價值。
密碼分析領域只是尚未經過測試的數學領域的一個。可能性是無窮無盡的,因為數學本身是無限的。粗略地說,如果人工智能能夠為闖入價值超過成本的系統做出貢獻,人們就會使用它,但真正的問題是如何做到。
來源
https://www.csoonline.com/article/3692868/what-is-artificial-intelligence-s-true-potential-impact-on-cybersecurity.html
