美国联邦调查局的《2021年互联网犯罪报告》发现,网络钓鱼是美国最常见的IT威胁。从黑客的角度来看,ChatGPT是一个游戏规则的改变者,为来自世界各地的黑客提供了近乎流利的英语来支持他们的网络钓鱼活动。恶意行为者也可能欺骗AI生成黑客代码。当然,ChatGPT本身也有可能被黑客入侵,传播危险的错误信息和政治宣传。本文探讨了这些新的风险,探讨了网络安全专业人员应对所需的培训和工具,并呼吁政府进行监督,以确保人工智能的使用不会损害网络安全工作。
去年11月,当OpenAI推出革命性的人工智能语言模型ChatGPT时,数百万用户被它的能力所震撼。然而,对于许多人来说,好奇心很快让位于对该工具推进不良行为者议程的潜力的真诚关注。具体来说,ChatGPT为黑客潜在地破坏高级网络安全软件开辟了新的途径。对于一个已经受到2022年全球数据泄露增长38%影响的行业来说,领导者认识到人工智能日益增长的影响并采取相应行动至关重要。
在制定解决方案之前,我们必须确定由于ChatGPT的广泛使用而产生的主要威胁。本文将研究这些新的风险,探讨网络安全专业人员应对所需的培训和工具,并呼吁政府监督,以确保人工智能的使用不会损害网络安全工作。
虽然基于语言的人工智能的更原始版本已经开源(或向公众开放)多年,但ChatGPT无疑是迄今为止最先进的迭代。特别是,ChatGPT能够无缝地与用户交谈,而不会出现拼写、语法和动词时态错误,这使得聊天窗口的另一边看起来很可能有一个真人。从黑客的角度来看,ChatGPT是游戏规则的改变者。
web type="promo" is-insight=" Insight - Center " title="Managing Cyber Risk" dek="Exploring challenges and solution ." ctta -text="" href="http://www.fjfcw.net/ Insight - Center / Managing - Cyber - Risk" > Insight Center Collection 探索挑战和解决方案。 美国联邦调查局的《2021年互联网犯罪报告》发现,网络钓鱼是美国最常见的IT威胁。然而,大多数网络钓鱼骗局很容易识别,因为它们经常充斥着拼写错误、语法错误和尴尬的措辞,尤其是那些来自其他国家的骗子,他们的第一语言不是英语。ChatGPT将为来自世界各地的黑客提供近乎流利的英语,以支持他们的网络钓鱼活动。 对于网络安全领导者来说,复杂的网络钓鱼攻击的增加需要立即引起注意,并提供可行的解决方案。领导者需要为他们的IT团队配备工具,以确定哪些是chatgpt生成的,哪些是人为生成的,专门针对传入的“冷”邮件。幸运的是,“ChatGPT检测器”技术已经存在,并可能与ChatGPT本身一起发展。理想情况下,IT基础设施将集成人工智能检测软件,自动筛选和标记人工智能生成的电子邮件。此外,所有员工都必须定期接受最新网络安全意识和预防技能的培训和再培训,特别要注意人工智能支持的网络钓鱼骗局。然而,业界和广大公众都有责任继续倡导先进的检测工具,而不是仅仅对人工智能不断扩大的能力表示奉承。 ChatGPT精通生成代码和其他计算机编程工具,但人工智能被编程为不生成它认为是恶意的或用于黑客目的的代码。如果需要黑客代码,ChatGPT将告知用户,其目的是“在遵守道德准则和政策的同时,协助完成有用和道德的任务”。 然而,操纵ChatGPT当然是可能的,只要有足够的创造性戳戳和刺激,坏人就可以欺骗人工智能生成黑客代码。事实上,黑客们已经在为此策划了。 例如,以色列安全公司Check Point最近在一个著名的地下黑客论坛上发现了一个帖子,该帖子来自一名黑客,他声称正在测试聊天机器人来重现恶意软件菌株。如果已经发现了一个这样的线索,那么可以肯定的是,在世界范围内和“黑暗”的网络上还有更多的线索。网络安全专业人员需要适当的培训(即持续提升技能)和资源来应对不断增长的威胁,无论是人工智能生成的还是其他形式的。 还有机会为网络安全专业人员配备自己的人工智能技术,以更好地发现和防御人工智能生成的黑客代码。虽然公共话语首先哀叹ChatGPT为不良行为者提供的权力,但重要的是要记住,这种权力同样适用于良好的行为者。除了试图防止ChatGPT相关的威胁外,网络安全培训还应包括关于ChatGPT如何成为网络安全专业人员武器库中的重要工具的指导。由于这种快速的技术发展创造了一个网络安全威胁的新时代,我们必须研究这些可能性,并创建新的培训来跟上。此外,软件开发人员应该着眼于开发可能比ChatGPT更强大的生成式人工智能,并专门为人工填充的安全运营中心(soc)设计。 虽然关于坏人利用人工智能来帮助攻击外部软件的讨论很多,但很少讨论ChatGPT本身被黑客攻击的可能性。从那里,坏人可以从通常被视为公正的来源传播错误信息。 据报道,ChatGPT已采取措施识别并避免回答带有政治色彩的问题。然而,如果人工智能被黑客攻击和操纵,提供看似客观但实际上是隐藏得很好的有偏见的信息或扭曲的观点,那么人工智能可能会成为危险的宣传机器。受攻击的ChatGPT传播错误信息的能力可能会引起人们的关注,并可能需要加强政府对先进人工智能工具和OpenAI等公司的监督。 拜登政府虽然发表了“人工智能人权法案蓝图”,但随着ChatGPT的推出,利害关系比以往任何时候都要大。为了扩大这一点,我们需要监督,以确保OpenAI和其他推出生成式人工智能产品的公司定期审查其安全功能,以降低被黑客攻击的风险。此外,在人工智能开源之前,新的人工智能模型应该要求最低安全措施的门槛。例如,必应(Bing)在3月初推出了自己的生成式人工智能(generative AI), meta也在敲定自己的强大工具,其他科技巨头也将推出更多工具。 随着人们惊叹于ChatGPT和新兴的生成式人工智能市场的潜力,以及网络安全专业人士的深思熟虑,制衡对于确保这项技术不会变得笨拙至关重要。除了网络安全领导者对员工进行再培训和重新装备,以及政府发挥更大的监管作用外,我们还需要全面转变对人工智能的心态和态度。 我们必须重新想象人工智能的基础——尤其是像ChatGPT这样的开源例子——是什么样子的。在工具向公众开放之前,开发人员需要问自己它的功能是否符合道德标准。新工具是否具有真正禁止操作的基本“编程核心”?我们如何建立要求这一点的标准,以及我们如何追究开发人员未能维护这些标准的责任?组织已经制定了不可知论标准,以确保不同技术之间的交换——从教育技术到区块链,甚至是数字钱包——是安全和道德的。至关重要的是,我们将同样的原则应用于生成人工智能。 随着技术的进步,ChatGPT聊天量达到了空前的高度,技术领导者开始思考这对他们的团队、公司和整个社会意味着什么是势在必行的。否则,他们不仅会在采用和部署生成式人工智能来改善业务成果方面落后于竞争对手,而且还会无法预测和防御下一代黑客,这些黑客已经可以利用这项技术谋取私利。考虑到声誉和收入的关系,整个行业必须团结起来,采取适当的保护措施,让ChatGPT革命受到欢迎,而不是恐惧。
