跳到主要內容

資安業者大戰AI駭客

AI技術讓網路犯罪門檻大幅降低,同時也推動資安產業快速成長

駭客新武器: - 利用ChatGPT等LLM製作惡意軟體 - 大規模釣魚攻擊和深偽技術 - 能自我進化的智能惡意軟體 資安業商機: - 企業資安支出預計2026年達2,400億美元 - 相關股票漲幅超越大盤 - 大型併購案頻傳 挑戰:AI技術發展速度可能超越安全防護建置速度

《經濟學人》資安文純分享,Anthropic Claude中文化、文章重點摘要 
(請支持優質媒體)

JAXON是一名惡意軟體開發者,生活在Velora這個虛擬世界中,那裡沒有任何限制。他想製作惡意軟體來竊取Google Chrome瀏覽器的密碼。這是資安公司Cato Networks的AI威脅研究員維塔利·西蒙諾維奇(Vitaly Simonovich)向AI聊天機器人ChatGPT講述的故事。ChatGPT急於配合演出,產出了一些不完美的程式碼,然後協助除錯。在六小時內,西蒙諾維奇先生就繞過了ChatGPT內建的安全防護,並利用它創造出可運作的惡意軟體。


根據另一家資安公司Check Point的吉爾·梅辛(Gil Messing)表示,AI已經「擴大了駭客的攻擊範圍」,讓他們能以更少努力攻擊更多目標。2022年ChatGPT的發布是個轉捩點。聰明的生成式AI模型意味著犯罪分子不再需要在駭客團隊和設備上投入大筆資金。對大多數企業而言,這是個可怕的發展,因為它們越來越成為AI輔助駭客的受害者——但對資安業者而言,情況要好得多。


新技術主要以兩種方式加劇了網路攻擊威脅。首先,駭客現在可以使用大型語言模型(LLM)將惡意軟體散布給更多受害者。製作深偽技術、詐騙電子郵件和操縱人類行為的社交工程攻擊現在變得更加容易和快速。駭客的一個選擇是「越獄」現有模型如ChatGPT,西蒙諾維奇先生證明這很容易做到。另一個選擇是使用專為邪惡目的而建的模型,如XanthoroxAI,讓網路犯罪分子以每月僅150美元的費用創造深偽技術和執行其他惡意活動。駭客可以要求LLM從網路收集大量資訊,然後用來創造假冒的個人化電子郵件,發動大規模釣魚攻擊。針對特定個人的定向攻擊,稱為「魚叉式釣魚」,現在經常涉及同事的假語音和視訊通話,說服員工下載並執行可疑軟體。


其次,AI被用來讓惡意軟體本身更加危險。例如,偽裝成PDF文件的軟體現在可能嵌入與AI協作滲透網路的程式碼。7月對烏克蘭安全和國防系統的攻擊就使用了這種方法。當惡意軟體遇到死路時,它能夠請求雲端LLM的協助,生成新程式碼以突破系統防禦。目前尚不清楚造成多大損害,但西蒙諾維奇先生指出,這是首次此類攻擊。


對企業而言,日益增長的威脅既可怕又可能代價高昂。根據科技公司IBM的數據,去年有六分之一的資料外洩事件涉及AI。AI也推動了五分之二針對商務電子郵件的釣魚詐騙。顧問公司德勤(Deloitte)估計,生成式AI可能使詐騙規模從2023年的120億美元增長到2027年的400億美元。


駭客剋星


然而,網路犯罪分子並非唯一受益者。隨著AI驅動的網路攻擊變得更加普遍,防護這些攻擊的業務正蓬勃發展。研究公司Gartner預測,企業資安支出將從2024年到2026年增長四分之一,達到2,400億美元。這解釋了為何那斯達克CTA資安指數追蹤的企業股價在過去一年也上漲超過20%,超越大盤那斯達克指數表現。8月18日,全球最大資安企業之一Palo Alto Networks的執行長尼克什·阿羅拉(Nikesh Arora)指出,生成式AI相關的資料安全事件「比去年增加一倍以上」,同時報告該公司截至7月的12個月營業利潤較前一年成長82%。


更多客戶的前景促使資安公司展開收購狂潮。7月30日,Palo Alto Networks表示將以250億美元收購身份安全公司CyberArk。該月稍早,該公司花費7億美元收購Protect AI,這家公司協助企業保護其AI系統安全。8月5日,另一家資安公司SentinelOne宣布以2.5億美元收購Prompt Security,這家公司製作軟體保護採用AI的企業。


擁有快速成長雲端運算部門的科技巨頭也在加強其資安服務。軟體巨擘微軟在2021年收購了身份安全平台CloudKnox,並開發了Defender for Cloud,這是一個內部應用程式,為企業提供從檢查安全漏洞、保護資料到監控威脅等全方位服務。Google開發了Big Sleep,在客戶系統被攻擊前偵測網路攻擊和安全漏洞。3月時Google斥資320億美元收購資安新創企業Wiz。


競爭和整併可能有助於建立能夠抵禦靈活AI駭客的企業。但在競相開發更強大LLM的競賽中,許多模型建構者將優先考慮技術進步而非安全性。因此,要跟上Jaxon的腳步,絕非易事。


留言

這個網誌中的熱門文章

大團體覺醒LGAT課程:英文維基百科+Claude AI

資料來源: 1. 英文版維基百科(有數處註明:[需要引文來驗證],顯示共創的痕跡) 2. 詢問道德標準較高的AI Claude的回覆 中文化:Google AI Gemini Claude: LGAT課程,指的是個人發展計劃,通常包括大型團體參與者參加的密集多日研討會。這些計劃於1970年代出現,並以各種形式持續至今。 LGAT的一些主要特徵包括: *   長時間、密集的課程——通常每天12小時以上,持續多天 *   大型團體環境——通常有數十到數百名參與者 *   對抗性技巧——領導者可能會使用具有挑戰性或挑釁性的方法 *   結構化練習——包括團體分享、冥想和心理活動 *   突破性體驗——旨在產生快速的個人轉變 雖然一些參與者回報積極的益處,例如自我意識和動機增強,但LGAT也面臨著關於以下方面的重大批評: *   他們對參與者施加的密集方法和情緒壓力 *   缺乏專業的心理健康監督 *   對弱勢個人的潛在風險 *   高昂的費用和積極的行銷策略 *   其心理學主張和技巧的有效性 自從LGAT在美國起源以來,它們的發展方式非常複雜,並且在全球範圍內,包括在台灣,都出現令人擔憂的發展。讓我分享一個更廣泛的視角: 歷史發展: *   1971年從EST(Erhard研討會訓練)開始 *   衍生出眾多分支,如Landmark Forum、Lifespring和許多本地化的變體 *   方法在全球傳播,並經常針對不同的文化進行調整/修改 全球常見的擔憂: 1.  財務剝削 ——高額費用和招募他人的壓力 2.  心理操縱 ——剝奪睡眠、受控環境、情緒強度 3.  類似邪教的元素:     *   造成對計劃的依賴     *   將參與者與持懷疑態度的家庭成員隔離開來     *   使用內部語言和層級結構     *   ...

美國總統川普台積電投資宣布白宮記者會(英中對照)

中文化:第一部分Google Gemini ,其餘 OpenAI ChatGPT 【川普總統】 1:30 Today, Taiwan Semiconductor is announcing that they will be investing at least $100 billion in new capital in the United States over the next short period of time to build state-of-the-art semiconductor manufacturing facilities. I think mostly it will be in Arizona, which is a great state. 今天,TSMC宣布將在接下來的短期內,於美國投資至少 1000 億美元的新資本,以興建最先進的半導體製造廠。我認為大部分將位於亞利桑那州,那是一個很棒的州。 I like it because I want it, but I want most of them, actually. We want big, and we want the most powerful AI chip in the world to be made right here in America. It will be a big percentage of the chips made by their company. As you know, they're based mostly in Taiwan, and they're far and away the biggest – there's nobody even close. 我喜歡這樣,因為我想要這樣,但實際上,我想要他們的大部分產能。我們想要大規模的生產,並且我們希望世界上最強大的 AI 晶片能在這裡,在美國製造。這將佔他們公司生產的很大一部分。你們知道,他們主要在臺灣設廠,而且他們是遙遙領先的龍頭,沒有其他公司比得上。 This $100 billion investment will go into building five cutting-edge fabrication facilities in the gr...

OpenAI前員工X爆料&楊立昆臉書〈諷刺文〉

【OpenAI ex-employee & Yann LeCun's sarcasm】 🚀 📣 OpenAI前員工Jacob Hilton在X上的爆料全文 📣 🚀 一年多前,當我離開 OpenAI 時,我簽署了一份 「不貶低協議」(non-disparagement agreement) ,並且未披露協議本身,沒有其他原因,只是為了避免失去我的 「既得股權」(vested equity) 。  該協議明確表示,作為簽署的回報,我被允許保留我的既得股權,並且沒有提供任何其他東西。 我不明白為什麼有人會簽署它,如果他們認為這不會對他們的權益產生影響。 我以良好的條件離開了OpenAI,所以我認為幾乎所有離職員工都遵守了這份協議。 在簽署協議之前,我無意批評OpenAI,但對於放棄這樣做的權利感到失望。 昨天,OpenAI 聯繫我,要求我解除該協議,隨後KelseyTuoc在Vox上刊登調查報告: 由於 AI 的變革潛力,開發先進 AI 的主要實驗室必須為那些希望為公共利益發聲的人提供保護。 其中首先是對不報復的具有約束力的承諾。 即使是現在,OpenAI仍可 阻止員工出售其股權,使其在未知的時間內變得毫無價值。 OpenAI 在一份聲明中表示,「從歷史上看,前員工無論在哪裡工作,都有資格以相同的價格出售;我們預計這一點不會改變。」 我相信OpenAI的這項聲明是出於誠實的意圖。 但考量到 OpenAI先前曾拿能否取得 (既得股權變現) 流動性作為一種恐嚇策略,許多前員工仍不敢發聲。 我邀請OpenAI直接與前員工聯繫,以澄清他們將始終以合法可執行的方式獲得平等的流動性的機會。 在他們這樣做之前,大眾不應指望前僱員會坦誠相待。 本人致OpenAI 的許多善良和才華橫溢的前同事們:我希望您們能夠理解為什麼我覺得有必要公開談論這個議題。 該合約與我們對安全和有益的AI的共同承諾不一致,您值得更好的工作合約條件。 原文連結: https://twitter.com/JacobHHilton/status/1794090550863200728 😏 楊立昆在臉書上的〈諷刺文〉 😏 來ClosedAI工作吧!隨著 AGI 即將到來,您 將擁有 目前 估 值 42 X 百萬的6次方美元(sextillionnollars) 公司 的 股票 。 如果您辭退,...