將人工智能工具引入業(yè)務(wù)工作流程可以讓一些信息變得可用����,這些信息對黑客來說可能更有價(jià)值,而且也更難防范���。
似乎越來越有可能的是��,人工智能正在改變各行各業(yè)的It運(yùn)營��,從最小的初創(chuàng)企業(yè)到大型傳統(tǒng)企業(yè)��。在某些方面����,人工智能的出現(xiàn)是一股均衡力量�����,由于人工智能仍處于起步階段�,所有企業(yè)在探索如何利用這些新工具時(shí)都同樣處于早期階段。在制定新的安全措施以配合在工作場所內(nèi)外使用人工智能時(shí)����,大多數(shù)企業(yè)也處于平等地位。
與之前的顛覆性技術(shù)一樣�����,探索中的一個(gè)主要問題是在創(chuàng)新和信息安全之間取得適當(dāng)?shù)钠胶狻1M管人工智能具有增強(qiáng)業(yè)務(wù)運(yùn)營的潛力�,但它也同樣有可能使企業(yè)面臨危險(xiǎn)。對首席技術(shù)官來說�,非常謹(jǐn)慎地對待人工智能的采用是一個(gè)好主意,因?yàn)榧词顾鼜氐赘淖兞薎T領(lǐng)導(dǎo)者開展業(yè)務(wù)的方式�,它也會同樣徹底改變黑客和其他不良行為者的攻擊方式。
黑客長期以來一直將數(shù)據(jù)作為他們的“戰(zhàn)利品”���,無論是可以在商業(yè)競爭中利用的專有企業(yè)數(shù)據(jù)����,還是可以幫助獲取個(gè)人個(gè)人財(cái)富等等的個(gè)人數(shù)據(jù)����,人工智能不會阻止數(shù)據(jù)的盜竊和利用。
人工智能收集數(shù)據(jù)的黑客攻擊
由于人工智能既可以從數(shù)據(jù)中學(xué)習(xí)��,也可以用來處理和解析大量數(shù)據(jù)�,因此它的崛起可能會導(dǎo)致更多不同類型的數(shù)據(jù)暴露,成為黑客攻擊的目標(biāo)�����。也就是說,將人工智能工具引入業(yè)務(wù)工作流程有可能導(dǎo)致人們提供一些對黑客來說更有價(jià)值的信息�����,而且也更難防范黑客攻擊����。
當(dāng)任何人���,無論是企業(yè)決策者還是個(gè)人����,選擇使用人工智能時(shí)�,他們都需要意識到向人工智能程序提供數(shù)據(jù)所涉及的風(fēng)險(xiǎn),并確保他們對決策充滿信心�����。在企業(yè)環(huán)境中�����,我傾向于認(rèn)為單個(gè)團(tuán)隊(duì)成員應(yīng)該避免單獨(dú)做出這個(gè)決定����。一個(gè)知情的團(tuán)隊(duì)����,不僅包括首席技術(shù)官���,還包括營銷和法律等其他關(guān)鍵群體的代表�,應(yīng)該幫助指導(dǎo)有關(guān)人工智能工具的所有決策����。
人工智能促進(jìn)黑客攻擊
那些旨在制定負(fù)責(zé)任的人工智能使用政策、符合企業(yè)最大利益的人��,可以從了解他們所面臨的不斷變化的威脅中受益��。雖然人工智能的進(jìn)步可能不會改變黑客的目標(biāo)��,信息可能仍然是一種有價(jià)值的商品����,但它幾乎肯定會改變他們的目標(biāo)方式。
畢竟���,人工智能是一種強(qiáng)大的工具����,可以大規(guī)模地自動化各種分析過程,其中包括邪惡的分析過程�����。因此��,雖然許多首席技術(shù)官��,自然渴望充分利用人工智能的許多潛在用例�����,但我們所有人都應(yīng)該記住���,黑客也是如此。
許多開發(fā)人員在構(gòu)建人工智能工具時(shí)���,熱衷于追求的目標(biāo)之一是讓這些工具盡可能地顯得人性化����。像ChatGPT這樣的大型語言模型(LLM)不僅可以模擬語言的流暢性��,還可以模擬語氣,甚至可以模擬引人入勝的對話�。
在最成功的情況下,這可能意味著人工智能將能夠通過圖靈測試���,這是計(jì)算機(jī)科學(xué)家艾倫·圖靈提出的一項(xiàng)測試���,旨在確定機(jī)器表現(xiàn)出人類特征的能力;通過圖靈測試意味著機(jī)器可以欺騙不知情的人,讓他們認(rèn)為他們正在與另一個(gè)人交談���。
這可能對網(wǎng)絡(luò)釣魚黑客的規(guī)模和有效性產(chǎn)生重大影響�����。網(wǎng)絡(luò)釣魚需要冒充某個(gè)機(jī)構(gòu)或個(gè)人來欺騙受害者交出金錢�����、敏感信息或機(jī)密訪問權(quán)限(通過密碼等)?��,F(xiàn)代網(wǎng)絡(luò)釣魚詐騙,例如近年來愈演愈烈的國稅局騙局已經(jīng)比21世紀(jì)初的“尼日利亞王子”騙局復(fù)雜了好幾光年�,但要想讓人信服,它們可能會很麻煩��,而且需要耗費(fèi)大量時(shí)間。
人工智能可能會提供黑客正在尋找的解決方案�,而首席技術(shù)官們應(yīng)該對此感到恐懼。一種可以快速解析所需信息的工具的承諾��,可以對代表某個(gè)機(jī)構(gòu)的人或任何其他人進(jìn)行高級模仿����,這為許多同時(shí)對話打開了大門,從而說服受害者提供信息���。這可能意味著,相對小規(guī)模的黑客行動可能比以往任何時(shí)候都有可能犯下更多����、更高級的欺詐行為。
但事情并沒有就此結(jié)束�。如果企業(yè)的團(tuán)隊(duì)成員正在與LLMAI進(jìn)行交互,即使小心地將敏感數(shù)據(jù)保密��,他們?nèi)匀豢赡芟蚱涮峁┛赡芙o您公司帶來風(fēng)險(xiǎn)的信息而沒有意識到這一點(diǎn)�。在與任何人交談時(shí),即使是表面上平淡無奇的話題��,人工智能也會了解這個(gè)人的聊天方式���、感興趣的話題類型等等����。
事實(shí)上,即使團(tuán)隊(duì)從未與人工智能互動����,我們所有人仍然有很多相對不受保護(hù)的數(shù)據(jù),從瀏覽歷史記錄到電子郵件訂閱��,再到可用于操縱的其他信息����,在互聯(lián)網(wǎng)上流動并可供購買。這可能適用于所有團(tuán)隊(duì)成員����,包括公司的CEO,甚至是CTO��。不難想象��,黑客要么購買個(gè)人數(shù)據(jù)來訓(xùn)練人工智能����,要么利用人工智能通過與人的直接互動了解到的信息來冒充他們���。
這在個(gè)人層面上已經(jīng)足夠可怕了,想象一下�,當(dāng)朋友和家人認(rèn)為他們正在與我們聊天時(shí),這樣的機(jī)器能夠從他們那里收集什么信息����。然而,在專業(yè)層面上�,它為員工創(chuàng)造了代表黑客執(zhí)行任務(wù)的機(jī)會,這些任務(wù)可能會危及企業(yè)����,以響應(yīng)看似來自同事的指令。利用這些信息可以創(chuàng)建的攻擊�,將比我們今天看到的典型網(wǎng)絡(luò)釣魚更有針對性����,因此更復(fù)雜和先進(jìn)。
這種進(jìn)步也延續(xù)到了更基本和更細(xì)粒度的黑客元素上���。到目前為止����,如果黑客想要收集有關(guān)團(tuán)隊(duì)成員或整個(gè)企業(yè)的信息,他們必須準(zhǔn)備好投入一些時(shí)間��。借助人工智能�,大部分繁瑣的偵察工作都可以在算法的幫助下得到簡化,這些算法幾乎可以立即消化大量信息�����。此外���,人工智能能夠在收集數(shù)據(jù)時(shí)進(jìn)行分析����,這對黑客來說意味著識別漏洞和攻擊點(diǎn)���。所有這些都使黑客能夠迅速發(fā)動更多�、更大規(guī)模的攻擊��。
與此相關(guān)的是��,如果人工智能能夠在眨眼間收集信息并識別和分析漏洞��,它也將能夠比我們以前見過的更快地開發(fā)復(fù)雜的對策。通常����,如果黑客想要在計(jì)算機(jī)、服務(wù)器或網(wǎng)絡(luò)上安裝惡意軟件�,他們必須首先進(jìn)行偵察以找到漏洞,確定哪種惡意軟件最能利用這些漏洞��,然后編寫軟件�����。人工智能強(qiáng)大的分析和外推能力意味著這三步過程幾乎可以立即發(fā)生�。這可能意味著高度定制且?guī)缀蹼y以察覺的惡意軟件,可以幾乎實(shí)時(shí)地收集信息并逃避反病毒工作����。
這就是為什么我說首席技術(shù)官和首席信息官需要先于黑客思考。所有IT領(lǐng)導(dǎo)者都需要了解是什么讓企業(yè)容易受到這些攻擊����,并在新一波人工智能黑客攻擊到來之前加強(qiáng)防御�。
總結(jié)
關(guān)于人工智能進(jìn)化的討論已經(jīng)無處不在,以前的技術(shù)往往在開發(fā)和采用方面走得更遠(yuǎn)�,然后才達(dá)到人工智能已經(jīng)享受的外行熟悉程度。目前對于如何應(yīng)對人工智能大規(guī)模黑客攻擊還沒有足夠的了解,如何防止這些攻擊就更不清楚了����。雖然新技術(shù)也非常令人興奮,并將為各行業(yè)的首席信息官和首席技術(shù)官打開無數(shù)的大門�����,但我們應(yīng)該意識到����,黑客和我們一樣興奮。
沃卡惠
