上個(gè)月，Elon Musk寫了一封公開信，要求將人工智能系統(tǒng)的開發(fā)暫停6個(gè)月，并警告稱“與人類競爭的智能可能對社會和人類構(gòu)成深遠(yuǎn)的風(fēng)險(xiǎn)”。雖然這聽起來有些危言聳聽，但生成式人工智能帶來的威脅是真實(shí)存在的，并且隨著人工智能生成的網(wǎng)絡(luò)釣魚電子郵件、惡意軟件和深度造假活動(dòng)的興起，這種威脅在網(wǎng)絡(luò)安全領(lǐng)域已經(jīng)非常明顯。隨著這項(xiàng)技術(shù)變得更加先進(jìn)，生成式人工智能將不可避免地繼續(xù)促進(jìn)網(wǎng)絡(luò)犯罪活動(dòng)，并賦予“想成為”網(wǎng)絡(luò)犯罪分子以越來越復(fù)雜的方式攻擊組織的能力，通常無需編寫一行代碼。

毫無疑問，組織應(yīng)該關(guān)注這個(gè)新的生成式人工智能時(shí)代帶來的風(fēng)險(xiǎn)。然而，這項(xiàng)技術(shù)也可用于防止惡意行為者，支持防病毒軟件、欺詐檢測以及身份和訪問管理。

生成式人工智能將繼續(xù)存在，尤其是首席信息安全官(CISO)，不能對這項(xiàng)新技術(shù)帶來的風(fēng)險(xiǎn)視而不見。那么，風(fēng)險(xiǎn)是什么?組織如何在新的生成式人工智能驅(qū)動(dòng)的威脅環(huán)境中保護(hù)自己?

網(wǎng)絡(luò)犯罪分子利用生成式人工智能

ChatGPT和類似的生成式人工智能模型的出現(xiàn)創(chuàng)造了一個(gè)新的威脅格局，幾乎任何人都可以對組織進(jìn)行惡意網(wǎng)絡(luò)活動(dòng)。網(wǎng)絡(luò)犯罪分子不再需要具備高級編碼知識或技能。其所需要的只是惡意，以及對ChatGPT的訪問權(quán)限。

影響欺詐應(yīng)該是未來組織特別關(guān)注的領(lǐng)域。絕不是一個(gè)新的或新穎的概念。多年來，機(jī)器人一直被用來在社交媒體平臺和主流媒體評論區(qū)生成評論，以塑造政治話語。例如，在2016年總統(tǒng)大選前幾周，人們發(fā)現(xiàn)機(jī)器人轉(zhuǎn)發(fā)唐納德·特朗普的推文是希拉里·克林頓的十倍。但現(xiàn)在在生成式人工智能的時(shí)代，這種類型的欺騙——在歷史上是為高層政治欺詐而保留的——可能會滲透到組織層面。理論上，惡意行為者可以在幾秒鐘內(nèi)使用ChatGPT或Google Bard在社交媒體、主流新聞媒體或客戶服務(wù)頁面上生成數(shù)百萬條有害信息。針對企業(yè)(包括其客戶和員工)的精心設(shè)計(jì)的攻擊可以以前所未有的規(guī)模和速度執(zhí)行。

組織的另一個(gè)主要擔(dān)憂是惡意機(jī)器人的激增。2021年，全球27.7%的互聯(lián)網(wǎng)流量由惡意機(jī)器人構(gòu)成，而在過去幾年中，這一數(shù)字只增不減。憑借其先進(jìn)的自然語言處理能力，ChatGPT可以生成真實(shí)的用戶代理字符串、瀏覽器指紋和其他屬性，使抓取機(jī)器人看起來更像合法用戶。事實(shí)上，根據(jù)最近的一份報(bào)告，GPT-4非常擅長生成語言，其能讓一個(gè)人相信其是盲人，以便讓那個(gè)人為聊天機(jī)器人解決驗(yàn)證碼問題。這對企業(yè)構(gòu)成了巨大的安全威脅，并且隨著生成式人工智能的發(fā)展，這將成為一個(gè)日益嚴(yán)重的問題。

生成式人工智能可以成為首席信息安全官的福音

生成式人工智能帶來的風(fēng)險(xiǎn)無疑是令人擔(dān)憂的，但這項(xiàng)技術(shù)將繼續(xù)存在，并迅速發(fā)展。因此，首席信息安全官(CISO)必須利用生成式人工智能來加強(qiáng)其網(wǎng)絡(luò)安全策略，并開發(fā)更強(qiáng)大的防御措施，以抵御新出現(xiàn)的復(fù)雜惡意攻擊。

CISO目前面臨的最大挑戰(zhàn)之一是網(wǎng)絡(luò)安全技能差距。到目前為止，全球大約有350萬個(gè)網(wǎng)絡(luò)職位空缺。最終，如果沒有熟練的員工，組織根本無法保護(hù)自己免受威脅。然而，生成式人工智能為這一行業(yè)挑戰(zhàn)提供了解決方案，ChatGPT和Google Bard等工具可用于加快手工工作，減少網(wǎng)絡(luò)安全人員的工作流程。特別是，特別是ChatGPT可以幫助加速代碼開發(fā)和檢測漏洞代碼，提高代碼的安全性。GPT-4代碼解釋器的引入改變了人員短缺的組織的游戲規(guī)則，因?yàn)榉爆嵅僮鞯淖詣?dòng)化可以騰出時(shí)間讓安全專家專注于戰(zhàn)略問題。通過引入由GPT-4驅(qū)動(dòng)的Microsoft Security Copilot，Microsoft已經(jīng)在幫助網(wǎng)絡(luò)安全人員簡化這些操作。

此外，人工智能聊天機(jī)器人工具可以支持事件響應(yīng)。例如，在發(fā)生機(jī)器人攻擊時(shí)，ChatGPT和Google Bard可以向安全團(tuán)隊(duì)提供實(shí)時(shí)信息并幫助協(xié)調(diào)響應(yīng)活動(dòng)。該技術(shù)還可以協(xié)助分析攻擊數(shù)據(jù)，幫助安全團(tuán)隊(duì)識別攻擊源，并采取適當(dāng)措施來控制和減輕其影響。

組織還可以使用ChatGPT和其他生成式人工智能模型來分析大量數(shù)據(jù)，以識別可能表明犯罪機(jī)器人存在的模式和異常情況。通過分析聊天記錄、社交媒體數(shù)據(jù)和其他信息來源，人工智能工具可以幫助檢測，并提醒安全團(tuán)隊(duì)注意潛在的機(jī)器人攻擊，以免造成重大損害。

新生成式人工智能時(shí)代的保護(hù)

我們現(xiàn)在已經(jīng)進(jìn)入了生成式人工智能時(shí)代，因此組織面臨著更加頻繁和復(fù)雜的網(wǎng)絡(luò)攻擊。CISO必須接受這一新現(xiàn)實(shí)，并利用人工智能的力量來對抗這些人工智能增強(qiáng)的網(wǎng)絡(luò)攻擊。未能實(shí)時(shí)使用機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)安全解決方案最終注定要落后。

例如，我們知道，由于生成式人工智能，組織將見證試圖在其網(wǎng)站上進(jìn)行欺詐的惡意機(jī)器人數(shù)量激增。在一個(gè)惡意行為者使用機(jī)器人即服務(wù)來制造復(fù)雜、隱蔽威脅的世界中，選擇不利用機(jī)器學(xué)習(xí)來阻止這些威脅，就像在槍戰(zhàn)中帶刀一樣。因此，現(xiàn)在比以往任何時(shí)候都更需要人工智能驅(qū)動(dòng)的機(jī)器人檢測和阻止工具來確保組織網(wǎng)絡(luò)安全。

一個(gè)恰當(dāng)?shù)睦邮牵簜鹘y(tǒng)的驗(yàn)證碼，長期以來被認(rèn)為是一種值得信賴的網(wǎng)絡(luò)安全工具，無法與當(dāng)今的機(jī)器人相提并論。機(jī)器人現(xiàn)在使用人工智能來傳遞“老派”驗(yàn)證碼，如交通信號燈圖像，促使企業(yè)需要首先升級到挑戰(zhàn)流量的解決方案，將驗(yàn)證碼作為最后的手段，然后僅使用網(wǎng)絡(luò)安全豐富的驗(yàn)證碼。此外，組織可以通過實(shí)施多重身份驗(yàn)證和基于身份的訪問控制來保護(hù)自己，這些訪問控制通過用戶的生物識別數(shù)據(jù)授予用戶訪問權(quán)限，這將有助于減少未經(jīng)授權(quán)的訪問和濫用。

生成式人工智能給組織帶來了重大的安全風(fēng)險(xiǎn)，但如果使用得當(dāng)，也可以幫助減輕其所造成的威脅。網(wǎng)絡(luò)安全是一場貓捉老鼠的游戲，CISO需要領(lǐng)先一步，以保護(hù)其組織免受毀滅性的財(cái)務(wù)和聲譽(yù)損害，這些損害可能成為這種新的人工智能驅(qū)動(dòng)的威脅環(huán)境的一部分。通過了解威脅，并以有效的方式使用技術(shù)，CISO可以保護(hù)其組織免受生成式人工智能帶來的新出現(xiàn)的攻擊。