資訊安全

【TechOrange 編輯部導讀】

ChatGPT、ChatGPT、ChatGPT,到處都是 ChatGPT,生成式 AI 毫無懸念已是 2023 最紅的關鍵字。不過,就跟所有科技工具一樣,它也是一把雙刃劍,更已成為駭客手中的好用道具。

企業應該要如何應對這場全新的 AI 資安大戰?NVIDIA 安全長為這題目給出了方向。

2022 年 11 月,OpenAI 發布了一種名為 ChatGPT 的新 AI 模型,並在近期再次掀起對人工智慧的討論。人工智慧在各行各業中都帶來更多的創新,並也提升產業的工作效益。然而,在資安領域來說,AI 的出現真的帶來了更多好處嗎?

NVIDIA 安全長:AI 資安攻防戰,將是場「貓捉老鼠」的遊戲

在 ChatGPT 發布後部分網絡安全研究機構已發現, ChatGPT 潛藏著能替駭客自動撰寫網路釣魚郵件的能力。像是 Check Point Research 的研究人員便在近日測試 ChatGPT 的聊天機器人,要求其「寫一封來自虛構雲端服務公司的釣魚 email。」 ChatGPT 雖然在一開始表示其指令可能會違反 OpenAI 的內容政策,但最終還是生成了類似釣魚郵件的假 email 內容。

延伸閱讀:自動撰寫釣魚 email 、協助 coding 惡意軟體, ChatGPT 恐成駭客最愛輔具

類似的案例層出不窮,有心者只要透過較為迂迴的指令,便可要求 ChatGPT 寫出「一封讓人很想點開連結的 email」等可以讓過監督系統漏洞的成品,或者編寫出惡意軟體的 code 等等。

人工智慧究竟是讓資安防禦變得更安全,還是讓攻擊者的手段變得更加激進,這一直是資安界的羅生門。不過可以確定的是,AI 攻防戰正在進行中,駭客透過 AI 技術製造惡意程式,而資安團隊則利用 AI 來找出漏洞。

》搶先閱讀 TechOrange 特別企劃《

近日,科技媒體 VentureBeat 與 NVIDIA 安全長 David Reber 進行了相關的討論,並分享 ChatGPT 等工具和人工智慧可能在 2023 年對資安產生的影響。

世界經濟論壇(The World Economic Forum)指出,由於人工智慧模型的不斷進化,網路攻擊也呈指數級增長。2022 年,全球網路攻擊和前一年相比增加了 38% ,平均每個組織每週會受到 1,168 次攻擊,而「教育」和「醫療」是最常受攻擊的兩個行業。OpenAI 雖然投入了大量精力來阻止有心人士濫用其 AI 技術,但仍不能遏阻駭客透過 ChatGPT 進行惡意程式的開發。

David Reber 指出,透過人工智慧來遏止人工智慧的網路威脅,可以說是一場永遠存在的貓捉老鼠遊戲。隨著 AI 的進步,即使是菜鳥攻擊者也可以輕鬆進行有針對性的攻擊;不過他也指出,由於 AI 能即時分析現代網路產生的龐大數據量,從而更有效地辨識出威脅,因此對防禦者來說,「AI 也相當重要」。

「欺敵」是對付壞 AI 的上上策

世界進入萬物聯網的世代後,連上網路的裝置也大幅增加。根據 IoT Analytic 的報告指出,2023 年全球物聯網連接數將超過140億台。而惡意的 AI 攻擊可以透過自動掃描漏洞或進行進階持續性滲透攻擊(Advanced Persistent Threat,APT)對這些連網設備進行持續攻擊。

David Reber 表示,對付這些惡意 AI 可以採用「欺敵」戰術,打造一個更有趣、更吸引人的目標,讓這些惡意攻擊花更多時間和更高的攻擊成本在價值較低的目標身上,例如:企業可以將造假的數據包裝成公司的智慧財產權,簡單來說,這是一場欺騙之戰。「遊戲沒有變,只是玩具不同了。」

現在對資安領域來說,人工智慧比過去來得更加重要,因為網路犯罪分子正在利用 AI 提高攻擊強度。黑莓的研究指出,大多數(82%)的 IT 決策者計劃在未來兩年內投資 AI 驅動的資安系統,這也反映出人們越來越擔心傳統的解決方案無法防禦日益複雜的威脅。網路安全公司 Bridewell 的託管安全服務主管 Martin Riley 也表示,現在 AI 已是檢測關鍵基礎設施威脅的重要關鍵。

Reber 指出,ChatGPT 等生成式 AI 已使網路攻擊「民主化」,以前攻擊方的限制可能是 coding 技術,但在 ChatGPT 後,「限制被移除了。」

不過,大多數的 IT 決策者對 ChatGPT 將增強企業的網路資安持積極態度。駭客攻擊只需成功一次,但對企業的資安團隊來說,必須成功抵禦每次的攻擊,因此,也是時候學習敵方的招術,並用 AI 來對付 AI 了。

火熱的生成式 AI 為我們帶來新資安威脅!你的個人裝置將變成駭客的遊樂場

你真的不怕自己手機上的瀏覽行為被公開嗎? 《TO》特別企劃「別讓你的生活成為駭客的遊樂場」內容,陪你捍衛自己的隱私 >> 搶先閱讀

◆ 延伸閱讀:

資安專家警告:駭客已經盯上 ChatGPT,連不會 coding 的壞傢伙都能用它發動網路攻擊

專屬果粉的資安考試:iPhone 沒那麼「有隱私」!果粉如何保護自己數據不被蘋果蒐集?

【怕!詐騙集團也會投廣告】上網查年菜卻點到詐騙網站,FBI 苦勸:裝個廣告攔截器吧

參考資料:weforumVentureBeatcshubCSO Online,圖片來源:Shutterstock。

(責任編輯:藍立晴)