2022年11月,OpenAI推出革命性的AI語言模型ChatGPT,數百萬使用者被其強大功能折服。然而對很多人來說,最初的好奇很快變成了真心的憂慮,擔心該工具可能友善動機不良者作惡。具體而言,ChatGPT可能為黑客破壞進階網絡安全軟體提供了新方法。2022年全球資料洩露事件增加38%,網絡安全行業已經廣受質疑,如今管理者必須認識到AI的影響力在日益增長,并采取相應行動。
制定解決方案之前,必須确定ChatGPT廣泛應用帶來的關鍵威脅。本文将研究這些新風險,探索網絡安全專業人員應對所需的教育訓練和工具,并呼籲政府采取監督措施,確定AI應用不會對網絡安全造成影響。
AI生成網絡釣魚騙局
盡管基于語言的更早期AI已經開源(或向公衆開放)多年,ChatGPT顯然是迄今為止最先進的疊代版本。尤其是,ChatGPT能在拼寫、文法和動詞時态錯誤的情況下與使用者順利交談,讓人感覺聊天視窗另一端就像真人一樣。從黑客的角度來看,ChatGPT改變了行業的遊戲規則。
美國聯邦調查局的《2021年網際網路犯罪報告》(2021 Internet Crime Report)發現,網絡釣魚(Phishing Scams)是美國最常見的資訊技術威脅。然而,由于經常出現拼寫和文法錯誤,加之往往措辭尴尬,多數網絡釣魚詐騙都很容易識别,尤其當詐騙者的母語并非英語時。然而ChatGPT可以為全球各地的黑客提供近乎流利的英語,“協助”網絡釣魚活動。
利用ChatGPT編寫惡意代碼
ChatGPT精通寫代碼和其他程式設計工具,不過這款AI被設定為不可生成惡意或黑客攻擊代碼。如果有人送出黑客代碼需求,ChatGPT将告知使用者該軟體目标是“遵守道德規範和政策的同時,協助完成有益的合乎道德的任務”。
然而,隻要采取一定技巧和刺激,惡意行為者當然有可能操縱ChatGPT,欺騙AI生成黑客代碼。事實上,黑客已經在為此謀劃。
例如,以色列安全公司Check Point最近在著名的地下黑客論壇上發現黑客釋出了一篇文章,聲稱正測試聊天機器人以重新編寫惡意軟體。如果出現一條類似線索,可以肯定地說,世界各地和“暗網”中肯定存在更多。網絡安全專業人員需要适當教育訓練(即不斷提高技能)和資源應對日益增長的威脅,無論來自AI還是其他方面。
網絡安全專業人員也有機會自行配置AI技術,進而更及時地偵測并防禦AI生成的黑客代碼。盡管公共輿論對ChatGPT為惡意行為者提供的能力紛紛表示失望,但重要的是記住,善意行為者同樣可以利用該能力。除了盡力防止與ChatGPT相關的威脅,網絡安全教育訓練還應該指導網絡安全專業人員如何利用ChatGPT。随着技術快速發展開啟網絡安全威脅的新時代,必須審視各種可能性并推動新教育訓練跟上步伐。此外,軟體開發人員應該努力開發生成式AI,此類AI可能比ChatGPT更強大,并且專門為人工安全營運中心(Security Operations Centers , SOC)設計。
規範AI的應用和能力
人們對惡意行為者利用AI幫助黑客入侵外部軟體展開了大量讨論,卻很少讨論ChatGPT本身被黑客入侵的可能性。一旦ChatGPT遭到入侵,惡意行為者就能利用那些通常被視為可信的來源傳播虛假資訊。
據稱,ChatGPT已采取措施識别并避免回答帶有政治色彩的問題。然而,如果AI被黑客入侵操縱,提供看似客觀但實際上隐藏很深的偏見資訊或扭曲視角的資訊,AI就可能變成危險的宣傳機器。ChatGPT遭入侵後傳播錯誤資訊的能力可能令人擔憂,是以政府可能需要加強對先進AI工具和OpenAI等公司的監督。
拜登政府已釋出《人工智能權利法案藍圖》(Blueprint for an AI Bill of Rights),但随着ChatGPT推出,風險比以往都高。若要更進一步,就需要采取監督措施,確定OpenAI和其他推出生成式AI産品的公司定期審查安全功能,降低黑客入侵的風險。此外,在AI開源之前,新推出的AI模型應符合最低安全措施門檻。例如,3月初必應(Bing)推出了自家的生成式AI,Meta也即将啟用本公司開發的強大工具,還有更多科技巨頭正在摩拳擦掌。
在人們不斷贊歎ChatGPT和新興生成式AI市場潛力之時,采取制約和平衡之道對于確定該技術不會走向失控至關重要。不僅網絡安全管理者要對員工再教育訓練并提升相關能力,政府發揮更多監管作用,人們對AI的心态和态度也要全面轉變。
我們必須重新構想AI的基礎,尤其是像ChatGPT之類的開源軟體。在新工具向公衆開放之前,開發人員要問問自己該工具的功能是否合乎道德,新工具是否存在切實禁止外部操縱的基礎“程式設計核心”(programmatic core)?如何建立相關标準?如果未能做到,如何確定開發人員對之負責?目前各組織制定了偏不可知論的标準,以確定從教育技術到區塊鍊,甚至數字錢包領域,不同技術之間的交流安全且合乎道德。最關鍵的是,生成式AI也要應用同樣的原則。
ChatGPT的對話創下曆史新高,随着技術不斷進步,技術管理者必須開始思考這一現象對團隊、公司乃至全社會意味着什麼。否則,科技公司不僅會在利用和部署生成式AI以改善業務成果方面落後于競争對手,也無法預測并防禦可能操縱技術牟取私利的新一代黑客。在聲譽和收入岌岌可危的背景之下,科技行業必須團結起來,制定合适的保護措施,讓ChatGPT革命值得歡呼,而不是讓人心生恐懼。
吉姆·切爾頓(Jim Chilton)| 文
吉姆·切爾頓在全球教育技術公司Cengage Group擔任首席技術官。目前他還擔任該公司網絡安全教育訓練業務Infosec的代理總經理。
劉隽 | 編輯