正在閱讀:

告別暴力破解,AI成黑客“新玩具”

掃一掃下載界面新聞APP

告別暴力破解,AI成黑客“新玩具”

AI演繹“功守道”。

文|鋅刻度 陳鄧新

編輯|高智

AI,是一柄雙刃劍。

既可以成為安全工程師的好幫手,用來尋找潛在的安全威脅以及修復(fù)漏洞,也可以成為黑客的利器,用來發(fā)動(dòng)大規(guī)模的網(wǎng)絡(luò)攻擊。

這并非杞人憂天。

前不久,網(wǎng)絡(luò)安全公司Home Security Heroes 發(fā)布了一份報(bào)告,稱使用了一款名為 PassGAN的新型AI工具,51%的常規(guī)密碼可以在不到1分鐘時(shí)間內(nèi)完成破解。

密碼破解早已有之,AI下場(chǎng)有何不同?密碼破解難度下降,普通人該不該慌?AI時(shí)代,“功守道”該如何演繹?

常規(guī)密碼,一分鐘破解

眼下,黑客對(duì)AI的興趣愈發(fā)濃烈。

之前,一個(gè)名為《ChatGPT–Benefits of Malware》的帖子在黑客圈廣為流傳,帖子中展示了一個(gè)Java片段,可以用來下載盜號(hào)木馬、勒索病毒、流氓軟件等惡意程序。

甚至,一個(gè)從未涉足腳本的知名黑客USDoD,在好奇心驅(qū)使之下借助 ChatGPT生成了人生第一個(gè)可以執(zhí)行加解密功能的Python腳本,該腳本稍加改造就可以變成勒索病毒。

不過,上述攻擊都是模擬的,實(shí)際場(chǎng)景更為復(fù)雜,真正落地還有很長(zhǎng)一段路要走。

盡管如此,外界認(rèn)為黑客利用AI作惡,只是時(shí)間問題。

這次,白帽黑客使用了帶AI的PassGAN工具測(cè)試了超過 1568萬個(gè)密碼,在不到1分鐘時(shí)間內(nèi)成功破解了51%的密碼;1個(gè)小時(shí)破解了65%的密碼;1天破解了71% 的密碼;1個(gè)月破解了81% 的密碼。

圖源:網(wǎng)絡(luò)安全公司Home Security Heroes

一名匿名黑客告訴鋅刻度:“PassGAN之類的AI工具,拉低了密碼破解的門檻,相關(guān)的攻擊或更泛濫。”

上述匿名黑客進(jìn)一步表示,普通的密碼破解工具,是按照一定的順序去碰撞(嘗試),通俗易懂地說就是暴力破解,引入AI能力之后,分析已知的泄露密碼庫,歸納密碼出現(xiàn)的頻率,并率先使用高頻密碼進(jìn)行碰撞,碰撞不成功再啟用窮舉法暴力破解,這考驗(yàn)的是密碼的復(fù)雜程度,以字母大小寫疊加數(shù)字的12位非常規(guī)密碼為例,PassGAN破解需要2000年。

魔高一尺,道高一丈

盡管如此,普通人不用慌。

一名安全工程師告訴鋅刻度:“最安全的密碼就是記不住的密碼,但記不住的密碼則會(huì)帶來另外的麻煩,因而實(shí)際生活中,短信驗(yàn)證碼、人臉識(shí)別、第三方賬號(hào)登錄等成為主流?!?/p>

一言以蔽之,密碼破解的路越走越窄。

但并不能以此放棄警惕之心,畢竟AI對(duì)黑客的助力,并不僅僅局限于密碼破解,深度偽造、人工智能投毒、人工智能模糊測(cè)試等都是研究的方向。

上海市人工智能行業(yè)協(xié)會(huì)秘書長(zhǎng)鐘俊浩表示:“比起失控的技術(shù),更有可能失控的是用技術(shù)來為非作歹的‘人’。比如,惡意使用者可能會(huì)利用ChatGPT來制造虛假信息、實(shí)施欺詐活動(dòng)或進(jìn)行其他不道德行為。防止人工智能作惡,關(guān)鍵在于控制背后的人?!?/p>

魔高一尺,道高一丈

好在,防御一方也在擁抱AI。

微軟的AI助手工具Copilots使用了Open AI新的GPT-4語言系統(tǒng)和安全領(lǐng)域特定的數(shù)據(jù),可以幫助安全人員更快地發(fā)現(xiàn)黑客的攻擊,且這一工具可以同時(shí)處理1000個(gè)警報(bào),并在幾秒鐘內(nèi)提供安全報(bào)告。

也就是說,以前靠人工檢測(cè)何況攻擊,現(xiàn)在依賴AI就可以達(dá)到目的,用魔法打敗魔法,效率還更高。

事實(shí)上,GPT-4上線之初也進(jìn)行了風(fēng)險(xiǎn)測(cè)試。

據(jù)外媒報(bào)道, Open AI于2022年聘請(qǐng)了50名專家學(xué)者,由學(xué)者、教師、律師、風(fēng)險(xiǎn)分析師和信息安全研究員組成,對(duì)GPT-4這一新模型進(jìn)行了“定性探索和對(duì)抗性測(cè)試”,目的是探索并了解在社會(huì)上部署先進(jìn)人工智能系統(tǒng)會(huì)造成什么樣的風(fēng)險(xiǎn)。?

簡(jiǎn)而言之,AI也成為對(duì)抗黑客的利器。

譬如,DefPloreX 是一個(gè)機(jī)器學(xué)習(xí)工具包,使用數(shù)據(jù)可視化技術(shù)將非結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)化成有意義的描述,旨在檢測(cè)互聯(lián)網(wǎng)上的大規(guī)模電子犯罪。

再譬如,Intercept X是一個(gè)網(wǎng)絡(luò)安全工具,利用深度學(xué)習(xí)功能變被動(dòng)防御為預(yù)測(cè)防御,可防止已知威脅和從未見過的威脅。

總而言之,黑客進(jìn)入AI時(shí)代,試圖借助新技術(shù)再上一個(gè)臺(tái)階,這對(duì)安全圈而言是一個(gè)不容忽視的挑戰(zhàn),好在也可以提高防御的水平。

那么,魔高一尺,道高一丈。

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請(qǐng)聯(lián)系原著作權(quán)人。

評(píng)論

暫無評(píng)論哦,快來評(píng)價(jià)一下吧!

下載界面新聞

微信公眾號(hào)

微博

告別暴力破解,AI成黑客“新玩具”

AI演繹“功守道”。

文|鋅刻度 陳鄧新

編輯|高智

AI,是一柄雙刃劍。

既可以成為安全工程師的好幫手,用來尋找潛在的安全威脅以及修復(fù)漏洞,也可以成為黑客的利器,用來發(fā)動(dòng)大規(guī)模的網(wǎng)絡(luò)攻擊。

這并非杞人憂天。

前不久,網(wǎng)絡(luò)安全公司Home Security Heroes 發(fā)布了一份報(bào)告,稱使用了一款名為 PassGAN的新型AI工具,51%的常規(guī)密碼可以在不到1分鐘時(shí)間內(nèi)完成破解。

密碼破解早已有之,AI下場(chǎng)有何不同?密碼破解難度下降,普通人該不該慌?AI時(shí)代,“功守道”該如何演繹?

常規(guī)密碼,一分鐘破解

眼下,黑客對(duì)AI的興趣愈發(fā)濃烈。

之前,一個(gè)名為《ChatGPT–Benefits of Malware》的帖子在黑客圈廣為流傳,帖子中展示了一個(gè)Java片段,可以用來下載盜號(hào)木馬、勒索病毒、流氓軟件等惡意程序。

甚至,一個(gè)從未涉足腳本的知名黑客USDoD,在好奇心驅(qū)使之下借助 ChatGPT生成了人生第一個(gè)可以執(zhí)行加解密功能的Python腳本,該腳本稍加改造就可以變成勒索病毒。

不過,上述攻擊都是模擬的,實(shí)際場(chǎng)景更為復(fù)雜,真正落地還有很長(zhǎng)一段路要走。

盡管如此,外界認(rèn)為黑客利用AI作惡,只是時(shí)間問題。

這次,白帽黑客使用了帶AI的PassGAN工具測(cè)試了超過 1568萬個(gè)密碼,在不到1分鐘時(shí)間內(nèi)成功破解了51%的密碼;1個(gè)小時(shí)破解了65%的密碼;1天破解了71% 的密碼;1個(gè)月破解了81% 的密碼。

圖源:網(wǎng)絡(luò)安全公司Home Security Heroes

一名匿名黑客告訴鋅刻度:“PassGAN之類的AI工具,拉低了密碼破解的門檻,相關(guān)的攻擊或更泛濫?!?/p>

上述匿名黑客進(jìn)一步表示,普通的密碼破解工具,是按照一定的順序去碰撞(嘗試),通俗易懂地說就是暴力破解,引入AI能力之后,分析已知的泄露密碼庫,歸納密碼出現(xiàn)的頻率,并率先使用高頻密碼進(jìn)行碰撞,碰撞不成功再啟用窮舉法暴力破解,這考驗(yàn)的是密碼的復(fù)雜程度,以字母大小寫疊加數(shù)字的12位非常規(guī)密碼為例,PassGAN破解需要2000年。

魔高一尺,道高一丈

盡管如此,普通人不用慌。

一名安全工程師告訴鋅刻度:“最安全的密碼就是記不住的密碼,但記不住的密碼則會(huì)帶來另外的麻煩,因而實(shí)際生活中,短信驗(yàn)證碼、人臉識(shí)別、第三方賬號(hào)登錄等成為主流?!?/p>

一言以蔽之,密碼破解的路越走越窄。

但并不能以此放棄警惕之心,畢竟AI對(duì)黑客的助力,并不僅僅局限于密碼破解,深度偽造、人工智能投毒、人工智能模糊測(cè)試等都是研究的方向。

上海市人工智能行業(yè)協(xié)會(huì)秘書長(zhǎng)鐘俊浩表示:“比起失控的技術(shù),更有可能失控的是用技術(shù)來為非作歹的‘人’。比如,惡意使用者可能會(huì)利用ChatGPT來制造虛假信息、實(shí)施欺詐活動(dòng)或進(jìn)行其他不道德行為。防止人工智能作惡,關(guān)鍵在于控制背后的人?!?/p>

魔高一尺,道高一丈

好在,防御一方也在擁抱AI。

微軟的AI助手工具Copilots使用了Open AI新的GPT-4語言系統(tǒng)和安全領(lǐng)域特定的數(shù)據(jù),可以幫助安全人員更快地發(fā)現(xiàn)黑客的攻擊,且這一工具可以同時(shí)處理1000個(gè)警報(bào),并在幾秒鐘內(nèi)提供安全報(bào)告。

也就是說,以前靠人工檢測(cè)何況攻擊,現(xiàn)在依賴AI就可以達(dá)到目的,用魔法打敗魔法,效率還更高。

事實(shí)上,GPT-4上線之初也進(jìn)行了風(fēng)險(xiǎn)測(cè)試。

據(jù)外媒報(bào)道, Open AI于2022年聘請(qǐng)了50名專家學(xué)者,由學(xué)者、教師、律師、風(fēng)險(xiǎn)分析師和信息安全研究員組成,對(duì)GPT-4這一新模型進(jìn)行了“定性探索和對(duì)抗性測(cè)試”,目的是探索并了解在社會(huì)上部署先進(jìn)人工智能系統(tǒng)會(huì)造成什么樣的風(fēng)險(xiǎn)。?

簡(jiǎn)而言之,AI也成為對(duì)抗黑客的利器。

譬如,DefPloreX 是一個(gè)機(jī)器學(xué)習(xí)工具包,使用數(shù)據(jù)可視化技術(shù)將非結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)化成有意義的描述,旨在檢測(cè)互聯(lián)網(wǎng)上的大規(guī)模電子犯罪。

再譬如,Intercept X是一個(gè)網(wǎng)絡(luò)安全工具,利用深度學(xué)習(xí)功能變被動(dòng)防御為預(yù)測(cè)防御,可防止已知威脅和從未見過的威脅。

總而言之,黑客進(jìn)入AI時(shí)代,試圖借助新技術(shù)再上一個(gè)臺(tái)階,這對(duì)安全圈而言是一個(gè)不容忽視的挑戰(zhàn),好在也可以提高防御的水平。

那么,魔高一尺,道高一丈。

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請(qǐng)聯(lián)系原著作權(quán)人。