從聊天機器人到ChatGPT等大型語言模型��,人工智能無處不在�����。多年來,人工智能和機器學(xué)習(xí)一直是科技行業(yè)的熱門話題��,軟件開發(fā)商和大型云供應(yīng)商競相將人工智能融入他們的產(chǎn)品中�����,使他們的產(chǎn)品更加智能�,讓客戶的生活更加輕松。
但人工智能的突然普及仍然讓許多組織及其安全團隊感到驚訝�。雖然企業(yè)可能一直在制定如何將人工智能引入其運營的戰(zhàn)略,但他們現(xiàn)在面臨著員工可以輕松使用人工智能技術(shù)的情況�。對新的且基本上未經(jīng)批準(zhǔn)的第三方應(yīng)用的開放訪問,引起了安全領(lǐng)導(dǎo)者的擔(dān)憂��。
為了進一步了解人工智能給網(wǎng)絡(luò)安全帶來的風(fēng)險�����,以及安全領(lǐng)導(dǎo)者正在采取哪些措施來緩解這種風(fēng)險���,RiverSafe進行了一項研究����,要求250名網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者分享他們的想法。
80%的安全領(lǐng)導(dǎo)者認(rèn)為人工智能是其組織面臨的最大網(wǎng)絡(luò)威脅��。讓我們看一下報告中的更多數(shù)據(jù)�����,了解為什么人工智能成為當(dāng)今首席信息安全官最關(guān)心的問題�����。
人工智能將促進網(wǎng)絡(luò)威脅的范圍和規(guī)模大幅增加
人工智能最令人擔(dān)憂的方面之一是���,它為網(wǎng)絡(luò)犯罪分子提供了擴大攻擊規(guī)模和復(fù)雜性的巨大潛力。許多類型的網(wǎng)絡(luò)攻擊都是有效的數(shù)字游戲���,依靠策略來攻擊盡可能多的目標(biāo)����,并希望他們找到弱點���。
隨著人工智能工具觸手可及��,網(wǎng)絡(luò)犯罪分子可以更快����、更大規(guī)模地執(zhí)行現(xiàn)有策略,從而大大提高了他們成功入侵的可能性�����。
人工智能算法將使網(wǎng)絡(luò)犯罪分子能夠擴大各種攻擊的范圍����,從破解密碼和尋找網(wǎng)站漏洞等相對簡單的方案,到使用深度偽造等新技術(shù)�����。
這種迫在眉睫的網(wǎng)絡(luò)攻擊升級非常令人擔(dān)憂����,特別是考慮到許多企業(yè)已經(jīng)因網(wǎng)絡(luò)犯罪而遭受破壞。在我們的調(diào)查中���,五分之一的首席信息安全官表示�,他們懷疑自己的企業(yè)在過去一年中成為了網(wǎng)絡(luò)漏洞的受害者�����。另外18%的人確認(rèn)他們遭遇了嚴(yán)重的違規(guī)行為?��?磥?��,盡管采取了額外的措施,但許多安全領(lǐng)導(dǎo)人仍對攻擊的增加感到無奈��。近三分之二(63%)的受訪者告訴我們��,他們預(yù)計今年企業(yè)內(nèi)的數(shù)據(jù)丟失量將比以往任何時候都要多�。
人工智能使攻擊變得更加復(fù)雜且更難以防御
人工智能不僅允許網(wǎng)絡(luò)犯罪分子更頻繁地實施更多攻擊����,而且還被用來創(chuàng)建更復(fù)雜、更難被網(wǎng)絡(luò)安全產(chǎn)品和人們發(fā)現(xiàn)的新型攻擊����。
根據(jù)我們的調(diào)查結(jié)果,61%的首席信息安全官表示�����,他們已經(jīng)看到人工智能被用于使攻擊方法更智能����、更復(fù)雜��。
人工智能算法正在利用互聯(lián)網(wǎng)上提供的大量個人數(shù)據(jù)�,來更好地欺騙潛在的受害者���。我們所有人都有數(shù)字足跡�,甚至可能認(rèn)為不特別敏感的數(shù)據(jù)����,也可以被人工智能用來制作有針對性和有說服力的消息,以贏得收件人的信任���。例如���,通過抓取郵箱帳戶,人工智能機器人可以寫一條信息���,其中包含最近周末外出的信息�����,創(chuàng)建一封可信的電子郵件�����,聽起來真的像是來自一個熟悉的同事����。
雖然這種復(fù)雜性部分來自可用于欺騙員工的尖端技術(shù),但人工智能也以更簡單的方式被用來幫助攻擊繞過網(wǎng)絡(luò)防御����。例如,人工智能支持的拼寫和語法檢查器����,可以快速準(zhǔn)確地從結(jié)構(gòu)糟糕、書寫笨拙的網(wǎng)絡(luò)釣魚信息中找出錯誤���,從而消除了我們區(qū)分真實和可疑通信的最常見方式之一。
人工智能正在加劇數(shù)據(jù)泄露問題
鑒于現(xiàn)在任何人都可以使用大量的生成式人工智能工具�,控制敏感數(shù)據(jù)的移動變得更加困難。這些產(chǎn)品使用書面提示來創(chuàng)建和交付所請求的內(nèi)容(例如副本��、代碼或數(shù)字圖像)�����,這意味著用戶必須向它們提供數(shù)據(jù)以產(chǎn)生結(jié)果。
但是�����,如何控制用戶“告訴”人工智能工具的內(nèi)容�����,或者一旦數(shù)據(jù)被攝入����,它會如何處理這些數(shù)據(jù)?
這些第三方工具在企業(yè)內(nèi)部很難確保安全,因為用戶無法控制輸入數(shù)據(jù)的去向或用途���。一旦信息作為提示的一部分提供�,它就會進入大型語言模型(LLM)使用的數(shù)據(jù)庫�,為其他用戶提供答案;這意味著它可能會出現(xiàn)在法學(xué)碩士認(rèn)為相關(guān)的任何地方。
這給首席信息安全官帶來了重大挑戰(zhàn)��,他們現(xiàn)在正在根據(jù)員工輸入這些工具的內(nèi)容���,來應(yīng)對潛在的數(shù)據(jù)泄露�����。全球一些最大的企業(yè)已經(jīng)禁止員工使用生成式人工智能工具���,從我們的調(diào)查數(shù)據(jù)來看��,許多企業(yè)正在效仿�����,采取零信任方法來確保數(shù)據(jù)安全��。
我們采訪的許多安全領(lǐng)導(dǎo)者也反對將人工智能注入他們的企業(yè)�,其中近四分之一(22%)禁止使用可公開訪問的生成式人工智能工具��,例如ChatGPT��。
采取行動應(yīng)對人工智能威脅
人工智能現(xiàn)在可能讓安全領(lǐng)導(dǎo)者徹夜難眠���,但完全關(guān)閉它的大門是不可能的���。雖然這項技術(shù)還處于相對早期的階段���,但我們無法回避它��,它只會在我們的軟件和業(yè)務(wù)流程中變得更加普遍?��,F(xiàn)在就是采取行動確保企業(yè)能夠享受人工智能帶來的優(yōu)勢���,同時保護數(shù)字環(huán)境免受威脅的最佳時機。
通過強大的意識培訓(xùn)�����、加強網(wǎng)絡(luò)安全態(tài)勢����,并投資于旨在反擊自主威脅的人工智能增強安全工具,可以加強防御并減輕業(yè)務(wù)風(fēng)險���。
沃卡惠
