文|鋅刻度 陳鄧新
編輯|高智
AI,是一柄雙刃劍。
既可以成為安全工程師的好幫手,用來尋找潛在的安全威脅以及修復(fù)漏洞,也可以成為黑客的利器,用來發(fā)動(dòng)大規(guī)模的網(wǎng)絡(luò)攻擊。
這并非杞人憂天。
前不久,網(wǎng)絡(luò)安全公司Home Security Heroes 發(fā)布了一份報(bào)告,稱使用了一款名為 PassGAN的新型AI工具,51%的常規(guī)密碼可以在不到1分鐘時(shí)間內(nèi)完成破解。
密碼破解早已有之,AI下場(chǎng)有何不同?密碼破解難度下降,普通人該不該慌?AI時(shí)代,“功守道”該如何演繹?
常規(guī)密碼,一分鐘破解
眼下,黑客對(duì)AI的興趣愈發(fā)濃烈。
之前,一個(gè)名為《ChatGPT–Benefits of Malware》的帖子在黑客圈廣為流傳,帖子中展示了一個(gè)Java片段,可以用來下載盜號(hào)木馬、勒索病毒、流氓軟件等惡意程序。
甚至,一個(gè)從未涉足腳本的知名黑客USDoD,在好奇心驅(qū)使之下借助 ChatGPT生成了人生第一個(gè)可以執(zhí)行加解密功能的Python腳本,該腳本稍加改造就可以變成勒索病毒。
不過,上述攻擊都是模擬的,實(shí)際場(chǎng)景更為復(fù)雜,真正落地還有很長(zhǎng)一段路要走。
盡管如此,外界認(rèn)為黑客利用AI作惡,只是時(shí)間問題。
這次,白帽黑客使用了帶AI的PassGAN工具測(cè)試了超過 1568萬個(gè)密碼,在不到1分鐘時(shí)間內(nèi)成功破解了51%的密碼;1個(gè)小時(shí)破解了65%的密碼;1天破解了71% 的密碼;1個(gè)月破解了81% 的密碼。
圖源:網(wǎng)絡(luò)安全公司Home Security Heroes
一名匿名黑客告訴鋅刻度:“PassGAN之類的AI工具,拉低了密碼破解的門檻,相關(guān)的攻擊或更泛濫。”
上述匿名黑客進(jìn)一步表示,普通的密碼破解工具,是按照一定的順序去碰撞(嘗試),通俗易懂地說就是暴力破解,引入AI能力之后,分析已知的泄露密碼庫,歸納密碼出現(xiàn)的頻率,并率先使用高頻密碼進(jìn)行碰撞,碰撞不成功再啟用窮舉法暴力破解,這考驗(yàn)的是密碼的復(fù)雜程度,以字母大小寫疊加數(shù)字的12位非常規(guī)密碼為例,PassGAN破解需要2000年。
魔高一尺,道高一丈
盡管如此,普通人不用慌。
一名安全工程師告訴鋅刻度:“最安全的密碼就是記不住的密碼,但記不住的密碼則會(huì)帶來另外的麻煩,因而實(shí)際生活中,短信驗(yàn)證碼、人臉識(shí)別、第三方賬號(hào)登錄等成為主流?!?/p>
一言以蔽之,密碼破解的路越走越窄。
但并不能以此放棄警惕之心,畢竟AI對(duì)黑客的助力,并不僅僅局限于密碼破解,深度偽造、人工智能投毒、人工智能模糊測(cè)試等都是研究的方向。
上海市人工智能行業(yè)協(xié)會(huì)秘書長(zhǎng)鐘俊浩表示:“比起失控的技術(shù),更有可能失控的是用技術(shù)來為非作歹的‘人’。比如,惡意使用者可能會(huì)利用ChatGPT來制造虛假信息、實(shí)施欺詐活動(dòng)或進(jìn)行其他不道德行為。防止人工智能作惡,關(guān)鍵在于控制背后的人?!?/p>
魔高一尺,道高一丈
好在,防御一方也在擁抱AI。
微軟的AI助手工具Copilots使用了Open AI新的GPT-4語言系統(tǒng)和安全領(lǐng)域特定的數(shù)據(jù),可以幫助安全人員更快地發(fā)現(xiàn)黑客的攻擊,且這一工具可以同時(shí)處理1000個(gè)警報(bào),并在幾秒鐘內(nèi)提供安全報(bào)告。
也就是說,以前靠人工檢測(cè)何況攻擊,現(xiàn)在依賴AI就可以達(dá)到目的,用魔法打敗魔法,效率還更高。
事實(shí)上,GPT-4上線之初也進(jìn)行了風(fēng)險(xiǎn)測(cè)試。
據(jù)外媒報(bào)道, Open AI于2022年聘請(qǐng)了50名專家學(xué)者,由學(xué)者、教師、律師、風(fēng)險(xiǎn)分析師和信息安全研究員組成,對(duì)GPT-4這一新模型進(jìn)行了“定性探索和對(duì)抗性測(cè)試”,目的是探索并了解在社會(huì)上部署先進(jìn)人工智能系統(tǒng)會(huì)造成什么樣的風(fēng)險(xiǎn)。?
簡(jiǎn)而言之,AI也成為對(duì)抗黑客的利器。
譬如,DefPloreX 是一個(gè)機(jī)器學(xué)習(xí)工具包,使用數(shù)據(jù)可視化技術(shù)將非結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)化成有意義的描述,旨在檢測(cè)互聯(lián)網(wǎng)上的大規(guī)模電子犯罪。
再譬如,Intercept X是一個(gè)網(wǎng)絡(luò)安全工具,利用深度學(xué)習(xí)功能變被動(dòng)防御為預(yù)測(cè)防御,可防止已知威脅和從未見過的威脅。
總而言之,黑客進(jìn)入AI時(shí)代,試圖借助新技術(shù)再上一個(gè)臺(tái)階,這對(duì)安全圈而言是一個(gè)不容忽視的挑戰(zhàn),好在也可以提高防御的水平。
那么,魔高一尺,道高一丈。