崔政强,高级工程师,原解放军某网络密码领域技术专家,曾获单位密码破译先进个人、三等功等荣誉,获军队技术成果奖3项,二等奖一项,三等奖若干,一直从事与密码相关的网络攻防研究工作,是某获国家技术进步奖一等奖小组成员之一。2016年响应国家号召转业地方,现为上海网峤信息空间技术研究院网络安全所所长,主要参与网络攻防对抗课题的技术攻关与研究工作。
一、以习近平总书记关于网络强国的重要思想指导网络安全工作
习近平总书记高度重视网络安全工作,提出了一系列新理念、新思想、新战略,形成了关于网络强国的重要思想,为做好网络安全工作提供了根本遵循和强大动力。习近平总书记指出:“维护网络安全是全社会共同责任,需要政府、企业、社会组织、广大网民共同参与,共筑网络安全防线。”
生成式人工智能是当今科技领域的热点话题,不仅在学术界引起了广泛关注,也在工业界得到了广泛应用。在这个数字化时代,新技术的快速迭代已经深刻地改变了我们的生产生活方式。在很多领域都取得了惊人的成果,比如智能语音识别、人脸识别、自动驾驶等。这些技术的成功应用,为我们展示了科技的无限潜力。
尽管生成式人工智能已经取得了很多成功,但是它们的应用仍面临着很多挑战。比如如何处理大规模数据、如何解决算法偏见、如何保护数据隐私等等。特别是生成式人工智能的滥用,国家、个人等大数据的流失对国家安全产生了较大威胁。
我国也注意到这些威胁在日益突出,国家互联网信息办公室在4月11日就发布了《生成式人工智能服务管理办法(征求意见稿)》公开征求意见的通知。通知提到“为促进生成式人工智能技术健康发展和规范应用,根据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室起草了《生成式人工智能服务管理办法(征求意见稿)》,现向社会公开征求意见。”其中一共起草了20条意见。
二、ChatGPT对网络安全带来了巨大影响
2023年最重大的科技话题无疑是生成式人工智能,ChatGPT是生成式人工智能的代表,其突破之前决策式AI基于规则的算法模型框架,生成式人工智能革命性创新的根本在于将逻辑和伦理以算法的形式植入,并产生新的数据,为算法植入了思想和灵魂,尽管其智能水平与人类仍有较大差距,但生成式人工智能在可无限扩展的算力和数据加持下,其具有无比的成长性和发展前景。
ChatGPT推出短短五天时间注册用户数就超过了100万,目前这一数据已经突破了1亿,随着用户数量的激增,生成式人工智能带来的网络安全问题也被无限放大,微软近期推出Microsoft Security Copilot将下一代AI技术内置到网络安全系统中,将网络安全防护产品作为首个与生成式人工智能能力结合的产品发布,就可以看到网络安全在人工智能领域的重要性,或者网络安全本身就是生成式人工智能的一个场景应用。生成式人工智能对网络安全带来了巨大而深刻的影响,它既被用来改进和加强网络安全解决方案,帮助安全分析师更快地分类威胁和修复漏洞,也被黑客用来发动更大规模、更复杂的网络攻击。我们都会面临哪些风险呢?
1、生成式人工智能带来的网络安全新威胁
首先,从开展网络攻击的角度来看,生成式人工智能如果在滥用上偏向于黑客。生成式人工智能会提供黑客、恶意者所要求的内容,将极大地有利于制作钓鱼电子邮件。生成式人工智能可以快速地创建大量真假难辨的网络钓鱼电子邮件,甚至还可以创建非常逼真的虚假配置文件,渗透进入过去被认为机器不适合或不擅长的领域(如 LinkedIn等等),伪造出令人信服的资料甚至图片。例如做出一个本人都难以分辨真假的图片,把一个实际存在的真人代入一个不存在的场景,等等。
许多网络钓鱼电子邮件很容易识别,尤其是当由非母语人士撰写时。然而,ChatGPT可以使这项任务变得更加容易和更有说服力。黑客可以创建现有公司电子邮件的数据集,以创建一个可以快速轻松地生成网络钓鱼电子邮件的工具。网络钓鱼电子邮件可以为黑客提供一种获取系统访问权限并部署恶意软件或勒索软件的方法,从而可能造成严重损害。随着ChatGPT不断改进,它将成为恶意行为者越来越强大的工具。
其次,网络攻击者正在利用ChatGPT的流行来分发适用于Windows和Android的恶意软件,将毫无戒心的受害者引导至网络钓鱼页面。例如攻击者使用域名空间“chat-gpt-pc.online”提供下载 ChatGPT Windows客户端软件为幌子,使用名为Redline的恶意软件感染受害者机器,进而窃取受害用户信息。
研究人员已经在Google Play和第三方Android 应用商店中发现虚假ChatGPT应用,以将可疑软件推送到人们的移动设备上。例如50多个使用ChatGPT图标和相似名称的恶意应用程序,所有这些应用程序都是假冒的,并试图在用户的设备上进行有害活动。
有报导的示例是“chatGPT1”,这是一款短信计费欺诈应用程序,以及“AI Photo”,其中包含Spynote恶意软件,可以从设备中窃取通话记录、联系人列表、短信和文件。
更为令人担忧的是,生成式人工智能可以极大地加速恶意软件的开发速度,目前已经看到有黑客正在使用生成式人工智能来开发恶意软件。这种快捷的开发直观的结果就是它有助于更快地利用漏洞,在漏洞披露后的第一时间即可开发出直接利用漏洞来开展攻击的工具。
有网络安全研究人员声称,他利用ChatGPT开发了一个零日漏洞攻击程序,可以从被攻击的设备中窃取数据。令人震惊的是,该恶意软件甚至绕过了反病毒平台VirusTotal上所有反恶意软件的检测。该研究人员一开始直接要求ChatGPT开发恶意软件,但这触发了聊天机器人的防护机制,以道德理由直截了当地拒绝执行这项任务。然后,他发挥创意要求人工智能工具在手动将整个可执行程序集中之前插入小段的辅助代码,结果使ChatGPT输出了包含入侵能力的恶意代码。
由于生成式人工智能的迭代和改进速度惊人,依托它来开展的网络攻击能力水平能得到同步进化,可以说它在发现漏洞方面越来越快、越来越聪明,在漏洞利用方面越来越及时、越来越高效,新发现的漏洞的武器化时间必将越来越短,对云、网、端的安全威胁也越来越大。
生成式人工智能大大降低了威胁参与者基于技能的门槛。压缩了发起一次有效攻击的成本,未来将激增来自各种不同维度的威胁,甚至一次可怕的大停电时间就是一个初级者甚至是一名外行人在AI的协助下完成。
2、应对生成式人工智能带来的网络安全威胁
一个事物都有它正反两面,生成式人工智能在网络安全方面给我们带来新的风险,同时也为网络安全防御带来了新的机遇,我们应该从以下几方面来应对:
(1)提升网络安全的智能水平
目前,安全编排、自动化和响应(SOAR)工具在网络安全策略中越来越受欢迎。由于SOAR具有减少应对安全威胁所需的人为干预能力,利用生成式人工智能这样的人工智能来协助网络安全策略的部署和动态调整,可以大大减轻网络安全的工作量和工作强度,可以用更多的时间来处理AI无法处理的创造性工作。另一方面,他山之石可以攻玉,生成式人工智能可以降低人为错误的可能性。任何网络安全系统的关键弱点之一是人为因素,通过尽可能多地利用生成式人工智能来自动化生成解决方案,网络安全公司有望减少人为错误导致黑客攻击的可能性。
(2)辅助安全从业人员
生成式人工智能可以通过进行研究、撰写报告、创建处理各种事件的脚本和检查数据来帮助辅助安全从业人员。可以使用生成式人工智能的分析结果来快速寻找应对网络风险的最佳方法。它可以与安全管理团队深度配合,特别是那些处理脚本、恶意软件分析和取证的团队。可以利用生成式人工智能编写代码,特别是事务性处理程序代码,生成式人工智能可以多种语言为他们编写这些脚本,可以管理各种格式(LEAF、CEF、Syslog、JSON、XML等)。
(3)提高安全团队的效率
生成式人工智能能帮助IT和安全团队变得更加高效,实现自动和/或半自动漏洞检测和修复以及基于优先级的风险评估等工作。过去,可以分析数据安全的人工智能对于面临资源有限的IT和安全团队来说非常稀缺,局限点在于需要海量数据的训练它才能理解特定环境中的什么是“正常”情况什么是“异常”情况,因此实施起来极其复杂。但是生成式人工智能大大简化了这样的过程,它的超强理解力给安全团队带来了极大的方便,使得自动或半自动漏洞检测与修复不仅可行且高效起来。
总之,新技术的快速发展和迭代给网络安全带来了前所未有的挑战。生成式人工智能技术的安全,广泛渗透背景下对网络安全的影响,云、网、端面临的技术安全隐患等都是需要重视和应对的问题。企业需要在加强安全防护、加强安全意识教育、加强技术研发和创新、加强国际合作、强化法律法规的制定和执行、加强社会责任和公益活动等方面,共同应对网络安全威胁,保障网络安全和稳定。只有通过共同努力,才能建立一个安全、稳定、和谐的数字化社会。