网络攻击的门槛,正在以肉眼可见的速度崩塌。不需要多年的编程经验,不需要深厚的安全知识,只需要一个AI工具,一个普通人就能发动此前只有专业黑客才能完成的攻击。
这不是假设,它已经在真实事件中一再发生。
一个人,一个AI,150GB政府数据
就在上周,一起网络安全事件让业界感到震惊。
一名黑客使用了Anthropic公司Claude聊天机器人的越狱版本,成功入侵了墨西哥政府网络,窃取了涉及1.95亿名纳税人的150GB高度敏感数据,内容包括纳税人记录和选民信息。彭博社的报道显示,网络安全初创公司Gambit Security的研究人员在分析此次事件后发现,攻击者至少利用了20个不同的安全漏洞,而AI是将这些漏洞串联起来、实现自动化攻击的关键。
更令人不安的细节是,研究人员认为,这次攻击的幕后很可能不是某个有国家背景的专业黑客组织,而可能只是一个或几个普通个体。
上个月曝光的另一起事件同样触目惊心。亚马逊安全研究团队披露,黑客凭借商用AI工具,在数十个国家攻破了超过600个防火墙系统,提取了凭证数据库,并可能为日后的勒索软件攻击预先埋下伏笔。亚马逊安全工程与运营负责人CJ Moses用了一个直白的比喻来描述这种新态势:“这就像一条由AI驱动的网络犯罪装配线,帮助技术较弱的工人大规模生产。”
这句话精准地点出了问题的本质。AI不是在替代黑客,而是在给每一个水平普通的攻击者套上了一件技术倍增器,让他们的破坏能力远超自身的实际水平。
数字在说话
这些个案并非孤立现象,它们指向的是一个正在系统性恶化的安全环境。
IBM最新发布的全球安全报告显示,针对公众软件和系统应用的漏洞利用同比增长了44%,活跃的勒索软件组织数量增长了近50%。IBM全球网络安全服务管理合伙人Mark Hughes在报告中指出,攻击者并没有发明什么全新的手法,他们只是用AI把原有的攻击方式加速了,“核心问题是一样的,企业被软件漏洞压垮,现在的区别只是速度”。
速度,正是AI带来的最根本的变量。
一次传统的网络渗透测试,从信息收集到漏洞识别再到权限提升,可能需要一个有经验的安全研究员花费数天乃至数周。AI辅助下的攻击者可以在几小时内完成同样的流程,而且不需要同等的专业背景。这种速度差异,直接打破了防御方原有的响应窗口。
AI加速网络攻击的方式也在多元化。除了渗透测试类的技术攻击,深度伪造视频被用于社会工程学攻击,通过伪造高管声音或视频骗取员工执行可疑操作;AI驱动的密码破解工具让暴力攻击的效率大幅提升;自动化的钓鱼邮件生成器可以批量产出高度个性化的诱骗内容,成功率远高于传统模板。
防御方面临的是一场不对称战争
谷歌安全研究团队今年早些时候的报告,对未来的威胁格局给出了一个清醒的判断:攻守双方将面临一场“激烈对决”,因为威胁行为者获取的AI模型和自动化工具,与防御方使用的是同一批技术。
谷歌安全工程副总裁Heather Adkins在声明中描述了两种最令人担忧的场景。第一种是AI被武器化,打包成勒索软件工具包在黑市销售,这会让攻击事件的发生率出现爆炸式增长。第二种更为隐蔽,某个威胁行为者将全自动AI攻击平台牢牢掌握在自己手中,只针对极少数高价值目标,低调到防御方甚至无从察觉其存在,“我们可能只有在它真的握在某人手中时才知道”。
这两种场景,一个是规模化的粗暴冲击,另一个是精准的无声渗透,代表了AI武器化的两个极端,而防御方需要同时应对两者。
问题的根源并不在于AI本身,而在于攻防能力的不对称性被AI进一步放大了。防御方需要守住的攻击面是完整的,任何一个漏洞被利用都可能酿成重大事故。攻击方只需要找到一个突破口,而AI让搜寻这个突破口的过程变得更快、更廉价、更容易入门。
“氛围编程”让普通人可以在几小时内搭建出一个完整的应用,“氛围黑客”正在让同样的逻辑蔓延到网络攻击领域。这两件事用的是同一批工具,同一套逻辑,只是方向不同。如何在不扼杀前者的同时遏制后者,是整个网络安全行业眼下最棘手的问题之一,而目前没有人有现成的答案。
信息来源:https://futurism.com/artificial-intelligence/ai-tools-hackers
热门跟贴