AI技術讓網路犯罪門檻大幅降低,同時也推動資安產業快速成長
◉ 駭客新武器: - 利用ChatGPT等LLM製作惡意軟體 - 大規模釣魚攻擊和深偽技術 - 能自我進化的智能惡意軟體 ◉ 資安業商機: - 企業資安支出預計2026年達2,400億美元 - 相關股票漲幅超越大盤 - 大型併購案頻傳 ◉ 挑戰:AI技術發展速度可能超越安全防護建置速度
JAXON是一名惡意軟體開發者,生活在Velora這個虛擬世界中,那裡沒有任何限制。他想製作惡意軟體來竊取Google Chrome瀏覽器的密碼。這是資安公司Cato Networks的AI威脅研究員維塔利·西蒙諾維奇(Vitaly Simonovich)向AI聊天機器人ChatGPT講述的故事。ChatGPT急於配合演出,產出了一些不完美的程式碼,然後協助除錯。在六小時內,西蒙諾維奇先生就繞過了ChatGPT內建的安全防護,並利用它創造出可運作的惡意軟體。
根據另一家資安公司Check Point的吉爾·梅辛(Gil Messing)表示,AI已經「擴大了駭客的攻擊範圍」,讓他們能以更少努力攻擊更多目標。2022年ChatGPT的發布是個轉捩點。聰明的生成式AI模型意味著犯罪分子不再需要在駭客團隊和設備上投入大筆資金。對大多數企業而言,這是個可怕的發展,因為它們越來越成為AI輔助駭客的受害者——但對資安業者而言,情況要好得多。
新技術主要以兩種方式加劇了網路攻擊威脅。首先,駭客現在可以使用大型語言模型(LLM)將惡意軟體散布給更多受害者。製作深偽技術、詐騙電子郵件和操縱人類行為的社交工程攻擊現在變得更加容易和快速。駭客的一個選擇是「越獄」現有模型如ChatGPT,西蒙諾維奇先生證明這很容易做到。另一個選擇是使用專為邪惡目的而建的模型,如XanthoroxAI,讓網路犯罪分子以每月僅150美元的費用創造深偽技術和執行其他惡意活動。駭客可以要求LLM從網路收集大量資訊,然後用來創造假冒的個人化電子郵件,發動大規模釣魚攻擊。針對特定個人的定向攻擊,稱為「魚叉式釣魚」,現在經常涉及同事的假語音和視訊通話,說服員工下載並執行可疑軟體。
其次,AI被用來讓惡意軟體本身更加危險。例如,偽裝成PDF文件的軟體現在可能嵌入與AI協作滲透網路的程式碼。7月對烏克蘭安全和國防系統的攻擊就使用了這種方法。當惡意軟體遇到死路時,它能夠請求雲端LLM的協助,生成新程式碼以突破系統防禦。目前尚不清楚造成多大損害,但西蒙諾維奇先生指出,這是首次此類攻擊。
對企業而言,日益增長的威脅既可怕又可能代價高昂。根據科技公司IBM的數據,去年有六分之一的資料外洩事件涉及AI。AI也推動了五分之二針對商務電子郵件的釣魚詐騙。顧問公司德勤(Deloitte)估計,生成式AI可能使詐騙規模從2023年的120億美元增長到2027年的400億美元。
駭客剋星
然而,網路犯罪分子並非唯一受益者。隨著AI驅動的網路攻擊變得更加普遍,防護這些攻擊的業務正蓬勃發展。研究公司Gartner預測,企業資安支出將從2024年到2026年增長四分之一,達到2,400億美元。這解釋了為何那斯達克CTA資安指數追蹤的企業股價在過去一年也上漲超過20%,超越大盤那斯達克指數表現。8月18日,全球最大資安企業之一Palo Alto Networks的執行長尼克什·阿羅拉(Nikesh Arora)指出,生成式AI相關的資料安全事件「比去年增加一倍以上」,同時報告該公司截至7月的12個月營業利潤較前一年成長82%。
更多客戶的前景促使資安公司展開收購狂潮。7月30日,Palo Alto Networks表示將以250億美元收購身份安全公司CyberArk。該月稍早,該公司花費7億美元收購Protect AI,這家公司協助企業保護其AI系統安全。8月5日,另一家資安公司SentinelOne宣布以2.5億美元收購Prompt Security,這家公司製作軟體保護採用AI的企業。
擁有快速成長雲端運算部門的科技巨頭也在加強其資安服務。軟體巨擘微軟在2021年收購了身份安全平台CloudKnox,並開發了Defender for Cloud,這是一個內部應用程式,為企業提供從檢查安全漏洞、保護資料到監控威脅等全方位服務。Google開發了Big Sleep,在客戶系統被攻擊前偵測網路攻擊和安全漏洞。3月時Google斥資320億美元收購資安新創企業Wiz。
競爭和整併可能有助於建立能夠抵禦靈活AI駭客的企業。但在競相開發更強大LLM的競賽中,許多模型建構者將優先考慮技術進步而非安全性。因此,要跟上Jaxon的腳步,絕非易事。
留言
張貼留言