2022年11月,OpenAI推出革命性的AI语言模型ChatGPT,数百万用户被其强大功能折服。然而对很多人来说,最初的好奇很快变成了真心的忧虑,担心该工具可能方便动机不良者作恶。具体而言,ChatGPT可能为黑客破坏高级网络安全软件提供了新方法。2022年全球数据泄露事件增加38%,网络安全行业已经广受质疑,如今管理者必须认识到AI的影响力在日益增长,并采取相应行动。
制定解决方案之前,必须确定ChatGPT广泛应用带来的关键威胁。 本文将研究这些新风险,探索网络安全专业人员应对所需的培训和工具,并呼吁政府采取监督措施,确保AI应用不会对网络安全造成影响。
(相关资料图)
AI生成网络钓鱼骗局
尽管基于语言的更早期AI已经开源(或向公众开放)多年,ChatGPT显然是迄今为止最先进的迭代版本。尤其是,ChatGPT能在拼写、语法和动词时态错误的情况下与用户顺利交谈,让人感觉聊天窗口另一端就像真人一样。从黑客的角度来看,ChatGPT改变了行业的游戏规则。
美国联邦调查局的《2021年互联网犯罪报告》(2021 Internet Crime Report)发现,网络钓鱼(Phishing Scams)是美国最常见的信息技术威胁。然而,由于经常出现拼写和语法错误,加之往往措辞尴尬,多数网络钓鱼诈骗都很容易识别,尤其当诈骗者的母语并非英语时。然而ChatGPT可以为全球各地的黑客提供近乎流利的英语,“协助”网络钓鱼活动。
利用ChatGPT编写恶意代码
ChatGPT精通写代码和其他编程工具,不过这款AI被设置为不可生成恶意或黑客攻击代码。如果有人提交黑客代码需求,ChatGPT将告知用户该软件目标是“遵守道德规范和政策的同时,协助完成有益的合乎道德的任务”。
然而, 只要采取一定技巧和刺激,恶意行为者当然有可能操纵ChatGPT,欺骗AI生成黑客代码。事实上,黑客已经在为此谋划。
例如,以色列安全公司Check Point最近在著名的地下黑客论坛上发现黑客发布了一篇帖子,声称正测试聊天机器人以重新编写恶意软件。如果出现一条类似线索,可以肯定地说,世界各地和“暗网”中肯定存在更多。网络安全专业人员需要适当培训(即不断提高技能)和资源应对日益增长的威胁,无论来自AI还是其他方面。
网络安全专业人员也有机会自行配置AI技术,从而更及时地侦测并防御AI生成的黑客代码。尽管公共舆论对ChatGPT为恶意行为者提供的能力纷纷表示失望,但重要的是记住,善意行为者同样可以利用该能力。除了尽力防止与ChatGPT相关的威胁,网络安全培训还应该指导网络安全专业人员如何利用ChatGPT。随着技术快速发展开启网络安全威胁的新时代,必须审视各种可能性并推动新培训跟上步伐。此外,软件开发人员应该努力开发生成式AI,此类AI可能比ChatGPT更强大,并且专门为人工安全运营中心(Security Operations Centers , SOC)设计。
规范AI的应用和能力
人们对恶意行为者利用AI帮助黑客入侵外部软件展开了大量讨论,却很少讨论ChatGPT本身被黑客入侵的可能性。一旦ChatGPT遭到入侵,恶意行为者就能利用那些通常被视为可信的来源传播虚假信息。
据称,ChatGPT已采取措施识别并避免回答带有政治色彩的问题。然而,如果AI被黑客入侵操纵,提供看似客观但实际上隐藏很深的偏见信息或扭曲视角的信息,AI就可能变成危险的宣传机器。ChatGPT遭入侵后传播错误信息的能力可能令人担忧,所以政府可能需要加强对先进AI工具和OpenAI等公司的监督。
拜登政府已发布《人工智能权利法案蓝图》(Blueprint for an AI Bill of Rights),但随着ChatGPT推出,风险比以往都高。若要更进一步,就需要采取监督措施,确保OpenAI和其他推出生成式AI产品的公司定期审查安全功能,降低黑客入侵的风险。此外,在AI开源之前,新推出的AI模型应符合最低安全措施门槛。例如,3月初必应(Bing)推出了自家的生成式AI,Meta也即将启用本公司开发的强大工具,还有更多科技巨头正在摩拳擦掌。
在人们不断赞叹ChatGPT和新兴生成式AI市场潜力之时,采取制约和平衡之道对于确保该技术不会走向失控至关重要。 不仅网络安全管理者要对员工再培训并提升相关能力,政府发挥更多监管作用,人们对AI的心态和态度也要全面转变。
我们必须重新构想AI的基础,尤其是像ChatGPT之类的开源软件。在新工具向公众开放之前,开发人员要问问自己该工具的功能是否合乎道德,新工具是否存在切实禁止外部操纵的基础“编程核心”(programmatic core)?如何建立相关标准?如果未能做到,如何确保开发人员对之负责?目前各组织制定了偏不可知论的标准,以确保从教育技术到区块链,甚至数字钱包领域,不同技术之间的交流安全且合乎道德。最关键的是,生成式AI也要应用同样的原则。
ChatGPT的对话创下历史新高,随着技术不断进步,技术管理者必须开始思考这一现象对团队、公司乃至全社会意味着什么。否则,科技公司不仅会在利用和部署生成式AI以改善业务成果方面落后于竞争对手,也无法预测并防御可能操纵技术牟取私利的新一代黑客。在声誉和收入岌岌可危的背景之下,科技行业必须团结起来,制定合适的保护措施,让ChatGPT革命值得欢呼,而不是让人心生恐惧。
吉姆·切尔顿(Jim Chilton)| 文
吉姆·切尔顿在全球教育技术公司Cengage Group担任首席技术官。目前他还担任该公司网络安全培训业务Infosec的代理总经理。
刘隽 | 编辑