根據 Gartner 最新發佈的報告,人工智能(AI)在網絡攻擊中的應用已連續三個季度成爲企業面臨的最大風險。

該諮詢公司在7月至9月期間對286位高級風險與審計執行官進行了調查,結果顯示,80% 的受訪者對 AI 增強的惡意攻擊表示了深切的擔憂。這一趨勢並不令人意外,因爲有證據表明,利用 AI 進行的網絡攻擊正在上升。

黑客,網絡攻擊,寫代碼

圖源備註:圖片由AI生成,圖片授權服務商Midjourney

報告中還列出了其他一些新興風險,包括 AI 輔助的信息誤導、日益加劇的政治極化以及不匹配的組織人才配置等。攻擊者正在利用 AI 撰寫惡意軟件、製作網絡釣魚郵件等。以 HP 爲例,研究人員在6月份攔截了一場傳播惡意軟件的郵件活動,懷疑其腳本是藉助生成式 AI 撰寫的。該腳本結構清晰,每個命令都有註釋,這在人工編寫中並不常見。

根據安全公司 Vipre 的數據顯示,2023年第二季度,商務郵件欺詐攻擊數量比去年同期增加了20%,其中近五成是由 AI 生成的。CEO、HR 和 IT 人員成爲了主要目標。Vipre 的首席產品和技術官 Usman Choudhary 表示,罪犯們正在利用複雜的 AI 算法來製作引人信服的釣魚郵件,模仿合法通訊的語氣和風格。

此外,根據 Imperva Threat Research 的報告,從4月到9月,零售網站每天平均遭受569,884次 AI 驅動的攻擊。研究人員指出,像 ChatGPT、Claude 和 Gemini 等工具,以及專門抓取網站數據以訓練大型語言模型的機器人,正被用於進行分佈式拒絕服務攻擊和業務邏輯濫用等活動。

越來越多的道德黑客也承認使用生成式 AI,比例從去年的64% 上升至77%。這些研究人員表示,AI 可以幫助進行多渠道攻擊、故障注入攻擊和自動攻擊,從而同時攻擊多個設備。正如此,如果 “好人” 覺得 AI 有用,“壞人” 同樣會利用這一技術。

AI 的崛起並不令人驚訝,因爲它降低了網絡犯罪的門檻,讓技術水平較低的犯罪者也能借助 AI 生成深度僞造、掃描網絡入口、進行偵察等。瑞士聯邦理工大學的研究者最近開發出一種模型,能夠100% 解決 Google reCAPTCHA v2的問題。安全公司 Radware 的分析師在年初就預測,私有 GPT 模型的出現將被用於惡意目的,零日漏洞和深度僞造詐騙的數量也將隨之增加。

Gartner 還指出,IT 供應商的關鍵性問題首次進入了高管的關注名單。Gartner 風險與審計實踐高級總監 Zachary Ginsburg 表示,集中依賴單一供應商的客戶可能面臨更高的風險。就像 dStrike 在7月份發生的事件,導致全球850萬臺 Windows 設備癱瘓,給應急服務、機場和執法機構等帶來了巨大影響。