美国传奇银行劫匪威利·萨顿曾将40年的岁月耗在抢劫银行上。正如他在自传中所言,他对此乐在其中。当被问及为何在众多目标中偏偏选中银行时,据说他给出了一个极为直白的回答:“因为钱都在那里。”
早在2017年,笔者就曾撰写过一本书。书中预测,未来抢劫银行的将不再只是像萨顿这样带有几分传奇色彩的法外之徒,人工智能也将加入这一行列。
如今看来,这一天似乎已近在咫尺。全球各地的银行正陷入深切的担忧之中,外界普遍认为,网络犯罪分子很快就会利用人工智能的最新技术突破,企图对金融机构实施盗窃。
金融界的担忧,源于一款名为“迈索斯”的产品所展现出的惊人网络能力。这是安斯罗皮克公司推出的最新且功能最强大的人工智能模型。该公司正是广受欢迎的聊天机器人“克劳德”的幕后开发商。
对于普通公众而言,目前还无法访问或使用这一模型。这是因为安斯罗皮克公司以及众多业内人士认为,“迈索斯”的能力过于强大。他们担忧,将其贸然推向毫无防备的现实世界,或许会引发不可预知的风险。
针对“迈索斯”的内部测试结果令人心惊。该模型在所有主流系统平台和网络浏览器中,发现了数以千计的严重安全漏洞。
其中部分漏洞已经潜伏了数十年之久,至今未被察觉。许多漏洞正是科技界内部人士所称的“零日漏洞”。这类漏洞的危险系数极高,一旦被用于攻击,开发者必须在“零天”内,即立刻进行修复。
为了应对这一新兴威胁,安斯罗皮克公司已将该模型共享给一个防御联盟的十余家合作伙伴。该联盟的成员包括微软、亚马逊云服务、苹果、思科以及林纳斯基金会。
该公司还承诺提供价值1亿美元的使用额度。此外,他们还拨出400万美元作为开源资助金,用于启动对这些漏洞的排查与修复工作。
此外,包括多家美国银行在内的40多个其他组织也获得了访问权限。然而令人担忧的是,就目前掌握的信息来看,安斯罗皮克公司尚未向澳大利亚、英国或欧洲的任何银行开放权限。
更让外界忧虑的是,安斯罗皮克公司于周三证实,他们正在对记者的一篇报道展开调查。该报道声称,一小群未经授权的用户已经获取了“迈索斯”的访问权限。不过,目前尚无证据表明这种涉嫌违规的访问是出于恶意目的。
上周,来自世界各地的监管机构代表和政策制定者齐聚华盛顿,参加国际货币基金组织春季会议。伊朗战争无疑是会议的一大焦点。但与会者同时也发出了一系列严厉警告,直指银行业正面临的这一新兴网络安全威胁。
银行之所以成为极具吸引力的目标,不仅因为那里是资金的汇聚地。更深层的原因在于,整个行业仍在依赖许多陈旧的传统系统运行。这些拥有数十年历史的老旧技术,在面对此类新型攻击时可能显得尤为脆弱。
不过,对于普通个人而言,大可不必过度恐慌。许多国家都为银行客户建立了完善的保护机制。以澳大利亚为例,客户存款的首个25万澳元,均受到政府支持的金融索赔计划的保险覆盖。
同时,澳大利亚证券和投资委员会也会严格监督。他们确保在客户无过错的情况下,银行会对欺诈交易进行彻底调查并予以全额赔偿。
因此,将现金全数取出并藏在床垫下,显然并非明智之举。各大银行确实应当——且正在——争分夺秒地修补这些安全漏洞。
笔者建议,公众应定期更新个人电脑和智能手机,确保系统和银行应用程序始终处于最新版本。随着新漏洞的不断曝光与修复,预计在不久的将来会迎来更为频繁的系统更新。
此外,正如大家一贯保持的那样,必须对试图窃取银行凭证的电子邮件和短信网络钓鱼攻击保持高度警惕。
从长远来看,“迈索斯”暴露出了一个残酷的现实挑战:防御的难度远大于攻击。软件无疑是人类构建的最为复杂的产品之一。因此,想要确保其绝对没有漏洞,几乎是一项不可能完成的任务。
这迫使我们陷入了一场与“不法分子”之间永无休止的竞赛。我们必须在系统缺陷被恶意利用之前,抢先一步将其找出并彻底修复。
举例来说,欧洲联盟刚刚在大张旗鼓的宣传下发布了其年龄验证应用程序。该程序原本被寄予厚望,旨在成为限制访问社交媒体、色情内容及其他年龄限制内容的新兴法律的基石。短短几个小时内,安全专家就发现了未成年用户可以轻易利用的网络漏洞。
在最为关键的应用场景中,技术人员可以尝试通过数学方法来证明软件不存在漏洞。例如,有益人工智能基金会刚刚宣布了一项雄心勃勃的“登月”计划。该计划旨在证明广受欢迎的“信号”消息应用程序确实如其所言,既没有漏洞,又能完美保护用户隐私。
但在当下的技术环境中,此类努力仍属特例,尚未成为行业常态。不过,随着人工智能技术的进一步突破,这一被动局面或许很快就能得到彻底扭转。
热门跟贴