GenAI的迅速出現(xiàn)已經(jīng)改變了網(wǎng)絡(luò)安全的天平，促使各國政府采取行動，美國總統(tǒng)喬·拜登在10月份發(fā)布了一項全面的行政命令(EO)。

關(guān)于安全、有保障和值得信賴的AI開發(fā)和使用的行政命令就如何確保這項新興技術(shù)的安全提供了指導——這是以前的訂單所缺乏的，它還概述了與AI快速加速相關(guān)的挑戰(zhàn)。雖然CEO尋求讓國內(nèi)使用AI安全、可靠，但也許最高的任務(wù)是競相為好人利用AI的潛力，并防止將其用于壞人。這就提出了一個問題：在接下來的五年里，誰將受益更多——捍衛(wèi)者還是攻擊者?答案是：目前還不清楚。

有一點是肯定的，防御者和攻擊者都希望獲得生成性AI的優(yōu)勢。在這一點上，我們無法預測的是，是否會有一方占上風，這是一場需要雙方投入時間、精力和費用的比賽，雙方都將看到爆發(fā)式的成功。

它不一定要完全混亂。公司、安全從業(yè)者和政府機構(gòu)現(xiàn)在可以采取措施，確保他們跟上攻擊者的步伐，甚至可以通過更多的協(xié)作、持續(xù)的立法框架和安全的創(chuàng)新空間來發(fā)揮帶頭作用。

AI為威脅參與者和安全團隊提供力量

對于攻擊者來說，AI為社會攻擊和模仿攻擊增加了前所未有的速度和力量，特別是在規(guī)模上。如果沒有AI，針對CFO電子郵件的網(wǎng)絡(luò)釣魚攻擊對攻擊者來說是耗時的，因為他們必須首先篩選舊電子郵件，以獲得溝通風格的感覺，然后才能在釣魚電子郵件中模仿它。GenAI模型已經(jīng)證明了熟練的寫作能力，它們很快就能做到這一點，從而實現(xiàn)了更多的威脅戰(zhàn)役。在攻擊者目前可以一次發(fā)起十次釣魚或電子郵件泄露攻擊的地方，AI將使他們能夠在幾秒鐘內(nèi)點擊一個按鈕執(zhí)行一千次攻擊。

這些類型的攻擊之所以成功，是因為攻擊者一次可以瞄準更多的潛在受害者，這無疑與AI的火力成倍增加。當被用于邪惡時，GenAI已被證明會加劇攻擊強度和后果的嚴重性。

當然，攻擊者的這些炮轟不會被忽視。該行業(yè)將用AI支持的技術(shù)進行反擊，該技術(shù)可以檢測并響應這些類型的攻擊，但這些對策可能需要六個月的時間才能制定出來，在此期間會讓許多公司變得脆弱不堪。

軍備競賽就是這樣進行的，例如，有報道稱，惡意AI聊天機器人的開發(fā)者正在開發(fā)更復雜的工具，其中一個工具使用整個黑暗網(wǎng)絡(luò)作為其大型語言模型的知識庫。

與此同時，網(wǎng)絡(luò)安全行業(yè)也在響應這一號召，并利用AI進行積極的改進，一個明顯的例子是修復現(xiàn)有的安全漏洞，這主要是一個手動的、耗時的過程，這一點，再加上緊張的資源，使傳統(tǒng)產(chǎn)品變得脆弱不堪。隨著自動攻擊的持續(xù)增加，手動修復缺陷不再站得住腳。我們現(xiàn)在可以使用AI在軟件開發(fā)過程中左移，并在一開始就消除漏洞，優(yōu)先進行自動修復。

AI將在未來幾年內(nèi)在網(wǎng)絡(luò)安全的每一個類別中實現(xiàn)這種創(chuàng)新，AI模型將作為安全運營中心(SOC)團隊的初級助理運行。人們希望，隨著更少的漏洞進入開發(fā)過程，就越容易緩解和防御威脅。

同一戰(zhàn)線：行業(yè)和政府應該在AI軍備競賽中結(jié)成伙伴

GenAI發(fā)展如此之快，以至于很難預測網(wǎng)絡(luò)軍備競賽的結(jié)果。我們所知道的是，協(xié)作是關(guān)鍵。雖然《雇傭條例》中規(guī)定的監(jiān)管是重要的一步，但它不會解決所有問題。

隨著科技公司不斷推出AI產(chǎn)品，它們在競爭中扮演著關(guān)鍵的合作伙伴角色。雖然他們繞過了賽道的角落，但他們從客戶那里獲得的反饋對于塑造未來的AI法規(guī)至關(guān)重要，這些法規(guī)將促進創(chuàng)新、保護數(shù)據(jù)并解決社會關(guān)切。公私合作伙伴關(guān)系在各個行業(yè)已經(jīng)使用了幾十年，對AI的需求也沒有什么不同。政府和科技行業(yè)之間的合作是為AI創(chuàng)新和安全蓬勃發(fā)展創(chuàng)造一個安全空間的關(guān)鍵。

至關(guān)重要的是，行業(yè)和政府應不斷評估為保護公眾不受限制地使用AI而設(shè)置的護欄，無論是網(wǎng)絡(luò)罪犯還是老牌公司。首席運營官承諾制定標準，確保AI系統(tǒng)是安全的，并針對一系列嚴格的資格進行測試，這些資格和標準將需要隨著時間的推移而完善，才能真正標準化。

美國商務(wù)部還將制定水印和內(nèi)容認證指南，以明確標記AI生成的內(nèi)容，而Alphabet、Meta和OpenAI等公司已經(jīng)承諾實施此類措施，這種做法與美國特勤局(US Secret Service)在彩色復印機和打印機制造商變得足夠先進、可以偽造貨幣后，讓制造商在打印頁面上添加數(shù)字水印的做法產(chǎn)生了共鳴，然而，它確實給不良演員帶來了一系列獨特的挑戰(zhàn)，以供濫用。

為了確保負責任地開發(fā)和部署AI技術(shù)，我們的立法框架必須繼續(xù)演變，以透明度、可見性和理解為基石，科技行業(yè)和政府可以共同努力，降低風險，對抗威脅。

采用積極主動的方法來實現(xiàn)GenAI

我們正在進入網(wǎng)絡(luò)安全軍備競賽的新階段，AI占據(jù)了主導地位。任何新技術(shù)都是一把雙刃劍，GenAI的力量和潛力讓它的鋒芒格外鋒利。

貓捉老鼠的游戲才剛剛開始。軍備競賽將如何發(fā)展還不確定，但至關(guān)重要的是，行業(yè)和政府的捍衛(wèi)者都要積極主動。好消息是：AI以前所未有的速度推出了具有里程碑意義的法規(guī)。當我們擁抱這片未知領(lǐng)域時，改進我們的防御性AI戰(zhàn)略必須是一項全力以赴的努力。