如何在GenAI時代的網(wǎng)絡(luò)軍備競賽中幸存

責任編輯:cres

作者:Chris Wysopal

2023-12-19 16:11:16

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

未來幾年,AI將在威脅參與者和保護企業(yè)的安全團隊之間來回傾斜,與政府的合作是科技行業(yè)脫穎而出的關(guān)鍵。

GenAI的迅速出現(xiàn)已經(jīng)改變了網(wǎng)絡(luò)安全的天平,促使各國政府采取行動,美國總統(tǒng)喬·拜登在10月份發(fā)布了一項全面的行政命令(EO)。
 
關(guān)于安全、有保障和值得信賴的AI開發(fā)和使用的行政命令就如何確保這項新興技術(shù)的安全提供了指導(dǎo)——這是以前的訂單所缺乏的,它還概述了與AI快速加速相關(guān)的挑戰(zhàn)。雖然CEO尋求讓國內(nèi)使用AI安全、可靠,但也許最高的任務(wù)是競相為好人利用AI的潛力,并防止將其用于壞人。這就提出了一個問題:在接下來的五年里,誰將受益更多——捍衛(wèi)者還是攻擊者?答案是:目前還不清楚。
 
有一點是肯定的,防御者和攻擊者都希望獲得生成性AI的優(yōu)勢。在這一點上,我們無法預(yù)測的是,是否會有一方占上風,這是一場需要雙方投入時間、精力和費用的比賽,雙方都將看到爆發(fā)式的成功。
 
它不一定要完全混亂。公司、安全從業(yè)者和政府機構(gòu)現(xiàn)在可以采取措施,確保他們跟上攻擊者的步伐,甚至可以通過更多的協(xié)作、持續(xù)的立法框架和安全的創(chuàng)新空間來發(fā)揮帶頭作用。
 
AI為威脅參與者和安全團隊提供力量
 
對于攻擊者來說,AI為社會攻擊和模仿攻擊增加了前所未有的速度和力量,特別是在規(guī)模上。如果沒有AI,針對CFO電子郵件的網(wǎng)絡(luò)釣魚攻擊對攻擊者來說是耗時的,因為他們必須首先篩選舊電子郵件,以獲得溝通風格的感覺,然后才能在釣魚電子郵件中模仿它。GenAI模型已經(jīng)證明了熟練的寫作能力,它們很快就能做到這一點,從而實現(xiàn)了更多的威脅戰(zhàn)役。在攻擊者目前可以一次發(fā)起十次釣魚或電子郵件泄露攻擊的地方,AI將使他們能夠在幾秒鐘內(nèi)點擊一個按鈕執(zhí)行一千次攻擊。
 
這些類型的攻擊之所以成功,是因為攻擊者一次可以瞄準更多的潛在受害者,這無疑與AI的火力成倍增加。當被用于邪惡時,GenAI已被證明會加劇攻擊強度和后果的嚴重性。
 
當然,攻擊者的這些炮轟不會被忽視。該行業(yè)將用AI支持的技術(shù)進行反擊,該技術(shù)可以檢測并響應(yīng)這些類型的攻擊,但這些對策可能需要六個月的時間才能制定出來,在此期間會讓許多公司變得脆弱不堪。
 
軍備競賽就是這樣進行的,例如,有報道稱,惡意AI聊天機器人的開發(fā)者正在開發(fā)更復(fù)雜的工具,其中一個工具使用整個黑暗網(wǎng)絡(luò)作為其大型語言模型的知識庫。
 
與此同時,網(wǎng)絡(luò)安全行業(yè)也在響應(yīng)這一號召,并利用AI進行積極的改進,一個明顯的例子是修復(fù)現(xiàn)有的安全漏洞,這主要是一個手動的、耗時的過程,這一點,再加上緊張的資源,使傳統(tǒng)產(chǎn)品變得脆弱不堪。隨著自動攻擊的持續(xù)增加,手動修復(fù)缺陷不再站得住腳。我們現(xiàn)在可以使用AI在軟件開發(fā)過程中左移,并在一開始就消除漏洞,優(yōu)先進行自動修復(fù)。
 
AI將在未來幾年內(nèi)在網(wǎng)絡(luò)安全的每一個類別中實現(xiàn)這種創(chuàng)新,AI模型將作為安全運營中心(SOC)團隊的初級助理運行。人們希望,隨著更少的漏洞進入開發(fā)過程,就越容易緩解和防御威脅。
 
同一戰(zhàn)線:行業(yè)和政府應(yīng)該在AI軍備競賽中結(jié)成伙伴
 
GenAI發(fā)展如此之快,以至于很難預(yù)測網(wǎng)絡(luò)軍備競賽的結(jié)果。我們所知道的是,協(xié)作是關(guān)鍵。雖然《雇傭條例》中規(guī)定的監(jiān)管是重要的一步,但它不會解決所有問題。
 
隨著科技公司不斷推出AI產(chǎn)品,它們在競爭中扮演著關(guān)鍵的合作伙伴角色。雖然他們繞過了賽道的角落,但他們從客戶那里獲得的反饋對于塑造未來的AI法規(guī)至關(guān)重要,這些法規(guī)將促進創(chuàng)新、保護數(shù)據(jù)并解決社會關(guān)切。公私合作伙伴關(guān)系在各個行業(yè)已經(jīng)使用了幾十年,對AI的需求也沒有什么不同。政府和科技行業(yè)之間的合作是為AI創(chuàng)新和安全蓬勃發(fā)展創(chuàng)造一個安全空間的關(guān)鍵。
 
至關(guān)重要的是,行業(yè)和政府應(yīng)不斷評估為保護公眾不受限制地使用AI而設(shè)置的護欄,無論是網(wǎng)絡(luò)罪犯還是老牌公司。首席運營官承諾制定標準,確保AI系統(tǒng)是安全的,并針對一系列嚴格的資格進行測試,這些資格和標準將需要隨著時間的推移而完善,才能真正標準化。
 
美國商務(wù)部還將制定水印和內(nèi)容認證指南,以明確標記AI生成的內(nèi)容,而Alphabet、Meta和OpenAI等公司已經(jīng)承諾實施此類措施,這種做法與美國特勤局(US Secret Service)在彩色復(fù)印機和打印機制造商變得足夠先進、可以偽造貨幣后,讓制造商在打印頁面上添加數(shù)字水印的做法產(chǎn)生了共鳴,然而,它確實給不良演員帶來了一系列獨特的挑戰(zhàn),以供濫用。
 
為了確保負責任地開發(fā)和部署AI技術(shù),我們的立法框架必須繼續(xù)演變,以透明度、可見性和理解為基石,科技行業(yè)和政府可以共同努力,降低風險,對抗威脅。
 
采用積極主動的方法來實現(xiàn)GenAI
 
我們正在進入網(wǎng)絡(luò)安全軍備競賽的新階段,AI占據(jù)了主導(dǎo)地位。任何新技術(shù)都是一把雙刃劍,GenAI的力量和潛力讓它的鋒芒格外鋒利。
 
貓捉老鼠的游戲才剛剛開始。軍備競賽將如何發(fā)展還不確定,但至關(guān)重要的是,行業(yè)和政府的捍衛(wèi)者都要積極主動。好消息是:AI以前所未有的速度推出了具有里程碑意義的法規(guī)。當我們擁抱這片未知領(lǐng)域時,改進我們的防御性AI戰(zhàn)略必須是一項全力以赴的努力。
 
企業(yè)網(wǎng)D1net(r5u5c.cn):
 
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號