“跟其他技术一样,人工智能既可以是一项工具,当然也是一项武器,某些国家将使用人工智能技术发动网络攻击,规模可能会比现在观察到的更加强大。”——微软总裁Brad Smith
人工智能AI改变了世界,也颠覆了网络攻击和网络空间战争模式。今天,AI正在被坏人恶用,给互联网、云计算、数字经济等带来了可怕的恶梦。
 |
CNCERT国家工程研究中心在2023年秋指出了最危险的十大AI攻击: 1、AI中毒攻击、2、武器化模型、3、数据隐私攻击、4、模型提取攻击、 5、海绵攻击、6、快速注入攻击、7、逃避攻击、8、AI生成的网络钓鱼和BEC诱饵、 9、Deepfake BEC和其他骗局、10、AI生成的恶意软件和漏洞发现。 |
1.1 AI攻击技术已经武器化、实战化、军事化
- 基于AI的“自主网络攻击系统”:已经列装在M国网络战司令部的作战平台。能自主学习攻击目标的网络架构、规模、设备类型、操作系统、漏洞、网络流数据等信息,自动生成攻击代码,每 24 小时更新一次。隐蔽性和破坏性极强。2017 年由M国网军依托斯坦福大学和Infinite 公司联合研发。
- IBM的DeepLocker AI攻击技术:已被用于APT攻击实战。一种AI赋能的恶意代码。借助卷积神经网络(CNN)模型实现了对特定目标的精准定位,精准释放恶意代码威胁的攻击技术。在 2018 年展示;
- 2024年5月2日,GPT4已被部署在美国CIA绝密云上,将大大增强网络渗透、情报搜集与综合分析的能力。 https://mp.weixin.qq.com/s/CWulBhTKqzaVjgb74iPaDA
实战中,世界排名No.2的俄罗斯网军在俄乌战场上的网络战中节节败退,关键信息基础设施频频失守。2024年12月俄国家税收系统被摧毁,所有数据包括备份数据被永久性删除。国防部、电信局等多个关基系统被攻破,数据被盗数据库被删除。国计民生和军事屡遭打击,损失严重。警示着传统的网络安全技术已经远远不能应付AI+网战时代了!
1.2 生成式AI武器化和黑客大众化的危险时代已经到来!
大模型生成式人工智能ChatGPT横空出世后,因为操作简单、可以依据提示语自动编程,可定制性强、应用场景广泛,降低了原本需要分工进行的链条式犯罪的难度,被黑客利用的危害性极强。得到ChatGPT的加持,民间黑客团伙和个人可以低门槛无编程快速地获取定制的恶意攻击程序。导致互联网上不可预测的未知攻击飙升。
美国政府2023.7. 发出警告:攻击者正在利用ChatGPT放大作恶能力,可以帮助黑客低门槛无编程生成:恶意软件、构建恶意网站、生成网络钓鱼电子邮件、发布虚假信息;
令人震惊的是AI网络攻击技术的发展速度:从ChatGPT全球开始大火的2023年2月起只用了短短的半年时间,就在互联网上出现了专为黑客服务的大模型GPT网站:远远远远超过了人类的网络安全理论、技术和产品的发展速度!美国联邦调查局 FBI 就人工智能程序辅助的网络攻击泛滥发出了警告:“使用 AI 技术进行网络钓鱼攻击、恶意软件开发和发动网络攻击的黑客数量正在以惊人的速度增加” :
- WormGPT:“该 AI 工具没有任何限制,专为协助网络犯罪分子而设计,可以自由生成一系列恶意代码,或创建网络钓鱼攻击”。任何人只要支付60 欧元/月就可以使用。https://baijiahao.baidu.com/s?id=1771659468256746117&wfr=spider&for=pc
- FraudGPT :可自动生成多种网络攻击代码,低门槛无编程快速。已被证明能够针对攻击目标的网络结构和IT环境量身生成恶意脚本和代码,逃避端点检测和响应系统。并开发可以绕过静态签名检测的恶意软件变体和无法检测的恶意代码。任何人只要愿意付出200美金/月就可以使用。令人吃惊的是,该网站上线不到1周竟有逾3000名买家下单...
FraudGPT的“成功”,标志着生成式AI武器化和黑客攻击技术大众化的危险时代已经到来。意味着初级黑客个人就可以借助生成式AI生成高级网络攻击武器。意味着网络空间将会涌现大量的“麻雀战”,藏匿全球,毫无规律,极难溯源。
1.3 生成式AI可以加持其它攻击技术,增强突防能力,形成杂交优势,如虎添翼:
- AI+APT:FraudGPT和武器化的生成式AI将使检测和归因变得更加困难。由于不涉及硬编码,安全团队将很难根据取证工件或证据将人工智能驱动的攻击归因于特定的威胁组织或活动。更强匿名能力和更低的检测率意味着更长的攻击驻留时间,攻击者将能执行“低而慢”的攻击,这是针对高价值目标的高级持续威胁(APT)攻击的典型方法。
- AI+勒索攻击:在RSAC 2023上,SANS安全专家史蒂文•西姆斯(Steven Sims)展示了即使是不懂技术的犯罪分子也可以轻松获得ChatGPT来生成勒索软件代码。
注:勒索攻击(Ransomware)是唯一被美国定为“将利用国家力量的所有要素”对付的黑客技术《(美国)2023年国家网络安全战略》。勒索攻击正在肆虐全球。是当前全球的数据安全的最大威胁之一。以加密瘫痪掉网站/Web系统、SaaS、IT系统、索要高额赎金并要求用无法朔源的电子货币支付为其主要犯罪特征。全球平均每天1家企业遭勒索攻击。最大勒索赎金已达7000万美金(2023.6 台积电)。据奇安信去年2022年1-10月的数据统计,勒索攻击已经成为我国政企机构数据安全的最大威胁:占所有攻击方式的 59.7%。传统安全手段已无法有效抵御勒索攻击。在面对生成式AI加持的不断变型进化的勒索攻击时,大多数企业组织会处于极度弱势,根本难以招架。【全球最新勒索攻击集锦】
1.4 不断增长的新安全漏洞更让AI攻击如鱼得水:
现在平均每周新发现约500个安全漏洞(国家信息安全漏洞共享平台CNVD,比2021年增长了近20%)。这些新安全漏洞以Web应用为首,发现的漏洞最多,其余的分散在应用程序、网络设备、数据库、OS、虚拟层软件、物联网终端设备、甚至在安全产品里。如:Apache log4j2、VMware vcenter、毒液漏洞等等。除了这些已知漏洞以外,还有未知漏洞(如:下周才出现的几百个新漏洞)和秘密漏洞(攻击者知道,但防守方不知道的)。这些新漏洞不但会引来各种不可预测的0day攻击、Nday攻击,大增安全运维成本和降低IT系统工作的连续性,更为生成式AI攻击提供了使之不尽用之不竭的新攻击点和新攻击模式。
1.5 Sora、Flux等(文生视频、文生图)大模型为心理战、信息战提供了强大武器;
|
 |
1.6 GPT-4已经进化到可以读懂CVE漏洞库公告,并攻击网站、区块链
生成式AI大模型的规模参数和能量决定了AI网络攻击的杀伤力。2024年4月,伊利诺伊大学香槟分校的研究团队揭示了一项关于LLM模型进行黑客攻击的新研究:开发的AI Agent只需要阅读CVE漏洞描述,GPT-4就可以瞬间化身黑客,对指定的目标网站、区块链实施攻击。综合成功率达到了惊人的87%!该研究还发现,使用1750亿参数的GPT3.5模型就做不到这些。GPT-4具有1.8万亿个参数,背后使用了全球排名第五的超级计算机!
用此技术很容易扩展为可以发动批量攻击的网络机器人。堪称网络空间的大规模杀伤性武器!
在AI+网络战时代的今天,传统的人工发动的单点攻击模式,正在让位于AI机器人发动的批量攻击模式!请记住:背后站着的是世界排名第5的超级计算机或着更强大的超级计算机!传统的安全产品和技术已经无力防御。
总之,生成式AI的爆发使得网络空间防御变得异常困难。几乎所有的基于攻击特征值的传统安全产品(如:WAF、IDS/IPS、UTM等)都会被千变万化的AI攻击或AI赋能的网络攻击技术轻松地、低成本地击穿。攻击者会使用AI技术去发现攻击目标的IT系统、OT系统、云平台的各种漏洞(已知漏洞、未知漏洞、秘密漏洞),并自动生成量体裁衣的攻击程序,实施精准攻击。泛滥的AI+APT、AI+勒索攻击等各类AI攻击将对人类的数字资产、互联网经济、数字经济产生前所未有的威胁和破坏。如果得不到科学有效地控制的话,今后互联网上的邪恶流量将会大增,用户的数字资产遭受巨大威胁,云的市场将会萎缩,互联网面临着失控风险。
当今的网络安全行业严重依赖传统方法(主要是人工驱动+基于攻击特征值的防火墙、WAF、IDS/IPS、UTM等传统安全产品的方法)。随着基于大语言模型的生成式AI变革浪潮袭来,首当其冲的是网络安全行业正面临一次技术和方法的颠覆性革命。人工智能攻击的防御是急需研究的课题。这是全新的挑战。“目前,还没有有效的防护措施来阻止基于生成式AI的攻击威胁。”——CNCERT国家工程研究中心 2023年秋
2.1 使用水印技术识别AI生成的结果
生成式AI生成的虚假信息可以非常熟练地模仿我们的脸、我们的声音、我们的手势,但完全是虚假的。理论上用立法的方式可以要求人工智能生成的图像都带有水印或标签,以便计算机能够检测这个系统是否是由生成式AI系统生成的。可以以可见或不可见的方式使用隐写术加水印技术。这可以通过图像、视频和音频的生成过程来实现。但对于文本输出来说,问题更为复杂,目前还没有简单的方法可以在文本内隐藏水印。人们试图通过调整不同单词的频率来实现这一点,但效果尚不完美。
2.2 使用AI识别AI攻击
利用基于神经元网络AI的方法去识别、检出、防御AI攻击。这是很容易想到的技术路线。目前的研究:在威胁检测方面,人们尝试基于机器学习的恶意代码检测,到后来尝试过用深度学习、卷积神经网络(CNN)模型、到今天尝试用AI的大模型、用多模态等技术来做检测。但在实战中都还没有取得理想的结果。因为遇到了以下几个绕不过去的难点:
- 训练数据的问题:高质量的训练数据集是关键。遗憾的是没有人可以实时地从全球获得每天新生的海量的千变万化的AI攻击的特征值,我们更不可能从各国网军那里获取他们的秘密AI攻击武器。现实中我们只能使用旧的已知攻击的数据来训练这些神经元网络模型。从原理上,AI不可能从过去的已知攻击的旧数据里学习出明天后天才会出生的新未知攻击(包括AI攻击)的特征值。正如图灵奖得主杨立昆教授指出的LLMs的局限性:“无法回答训练资料中没有的问题”。
- 分布偏移的问题:美兰德公司:“当AI系统训练时所使用的数据集与部署后所处理的数据分布不一致时就出现了分布偏移的问题,分布偏移会明显限制有效性。”。2024年1月,《AI系统用于作战的局限性》。
- 大模型的幻觉问题:可以输出任何回答,但是不保证正确。即:推理结果不可信。
- 机器学习的滞后性问题:训练大模型是需要事先准备大量的标记数据,然后学习本身也要大量的时间和成本。如:ChatGPT使用的只有2021年之前的数据,而且训练一次的时间要按月计算,即使使用的是世界排名第4的超级计算机。这种训练速度无法应对今天互联网上每天产生的38多万(卡巴斯基)个“前所未有的恶意软件”、以及爆发的AI攻击。
如果上述的几个问题得不到突破的话,这条“以AI对AI”的技术路线目前还看不到希望。距离到实战还有很长的路要走。目前,AI检测手法只对旧的已知攻击的检出有有限的帮助。
2.3生物自防御技术
从防守方的角度看,AI网络攻击呈现出不可识别、不可拦截、不可预测、不可模拟的特性,与其它的未知攻击一样。不可能事先得到攻击特征值。更何况AI网络攻击已经进化到其攻击特征值是动态可变的:每24小时自动生成新攻击代码。因此对AI网络攻击的防御必须摆脱对攻击特征值的依赖。必须另辟蹊径。
2.3.1 AI攻击防御与未知攻击防御
研究表明,AI攻击可以被视为未知攻击中的一类。未知攻击(Unknown Attacks)的最大规律就是没有规律。在今天的互联网上已成主流,愈演愈烈。未知攻击通常都是最新,最先进的攻击技术。是造成数据安全、云安全伤害的主要方法。互联网未知攻击的防御是迫切需要解决的世界性难题。
M国也开始增加对“未知威胁”的研究。M国的国会意识到,国家防御系统(旧爱因斯坦系统)只能对“事先看到并分析过的恶意流量才能起效,无法在首次接触新的恶意流量时进行识别”,导致多次被攻破。M国国会批准在2024年度追加29亿元,增加“未知威胁感知技术”和加强后台数据分析系统的研发。
2.3.2 生物自防御技术的基本原理
研究表明,我们人体里有一套“生物自防御 Bio Self-Defending”机制或系统,至少包括:“皮肤、免疫、自我痊愈、神经监测和排毒”等五道主防线。24小时不间断地保护着我们的生命,即使我们在睡觉、开车、打仗、与爱人亲热、考试、甚至昏迷不醒的时候。它的运作行为不受人大脑的支配。这套系统保护我们人类在充满了各类未知细菌、未知病毒的自然空间里可以长期存活繁衍,保护我们人类在没有抗菌素等现代药品的情况下经过几百万年的风风雨雨,从猿人进化到了现代人。
在自然空间里,“隔离+生物自防御”机制曾帮助我们人类战胜了持续3年多的未知的新冠病毒(COVID-19)的攻击,尽管至今人类也没有研发出特效药。
相反,在网络空间里,计算机、网络、云平台里,甚至安全产品里因为缺乏这套“生物自防御”机制,所以一旦被病毒和攻击者入侵就出事了或者丧命了。对未知攻击毫无抵抗力。就像白血病患者一样脆弱不堪。因此,为了具备有效抗御互联网未知攻击的能力,就必须在网络空间里也实现“隔离+生物自防御”架构。就像我们人类的身体一样。否则,难以抵御武器化的AI攻击。
计算机仿生安全(生物自防御技术)是研究如何把这套机制复制到计算机和计算机系统里,研究如何在网络空间里构筑“隔离+生物自防御”机能或架构,增加抗未知攻击的能力的前沿交叉学科。
2.4 成功案例
2.4.1 案例一、3Gweb生物自防御Web服务器(第三代Web服务器);
这是人类首台具有生物自防御功能的计算机。也是可以防御AI攻击、未知攻击的新一代Web服务器。由原中科院的科学家发明。获“Best of Interop Award”国际大奖,中国、美国发明专利。IBM的评语:“领先世界的第三代Web服务器: 3Gweb生物自防御Web平台是不可篡改、不可挂马的第三代Web服务器。是整合了最尖端的生物自防御机制、HTTP服务器以及特殊架构的高性能计算机硬件在内的All-in-One型最高级Web服务器。获得的IT界最大国际博览会INTEROP大奖:“Best of Interop Award”标志着其世界领先地位。”,“更是抗击‘未知攻击’的全球唯一解决方案”
2.4.2 案例二、“隔离+生物自防御”新型架构云平台;
今天的互联网环境空前险恶,充斥着越来越多的无法识别的未知攻击(包括各国网军的秘密攻击武器、凶险的勒索攻击、武器化的AI攻击、0day攻击等等)。传统云平台带着大量的漏洞(已知漏洞、未知漏洞、秘密漏洞)直接接触互联网,是造成云平台犯罪率居高不下的根本原因之一。所以为了云应用以及数据安全,云计算平台必须隔离危险的传染攻击源——互联网!同时,还必须要有抗御未知攻击的能力。
2019年,人类的“生物自防御”机制被成功地植入了云平台,可以抗御未知攻击的“隔离+生物自防御”新型架构云平台在中国诞生了。国家发明专利授权。 中国电x云公司、中国铁x公司在互联网真实环境里的实际使用,验证了这种“隔离+生物自防御”架构云平台可以抗御未知攻击和武器化AI攻击的能力,验证了用先进的防御理念和技术解决了当今云平台不安全的难题。
2.4.3 案例三、3Gweb-Shadow影子防御
3Gweb-Shadow影子防御系统帮您从互联网隐身,让攻击者找不到您,却让访问者照常访问您!颠覆了“攻击者隐身、被攻击者裸身暴露在互联网上被动挨打”的传统互联网攻防模式!基于世界领先的国产互联网核心技术,再加上先进的抗未知攻击能力,是AI+网络战时代必备的最前沿的防御系统。提供网络战级别抗攻击能力:隐身+隔离+生物自防御+纵深防御架构。
让千变万化的AI攻击、国家级高烈度网络攻击、凶猛的勒索攻击、APT、SQL注入等各类目标定向攻击迷失真实的攻击目标。让攻击者找不到您的Web系统和系统里的大量安全漏洞。让您的网站/Web系统,云上的SaaS服务、大数据平台,官网,OA系统等等,可以更健壮、更长久、更经济地运行在AI+网络战时代的空前险恶的互联网环境里。任凭风吹雨打,我自闲庭信步。为您贵重的数据资产、关键信息基础设施、数字经济、互联网战略安全筑起现代化的数字安全屏障。省钱省事省心。
人类大脑创造的人工智能技术给社会带来了无限的发展机会,无限的遐想和未来。但同时也带来了负面影响:AI技术的恶用会让互联网环境变得更加险恶:
生成式AI的爆发使得网络空间防御变得异常困难。几乎所有的基于攻击特征值的传统安全产品(如:WAF、IDS/IPS、UTM等)将会被千变万化的AI赋能的网络攻击技术(AI攻击)轻松地、低成本地击穿。数据安全受到前所未有的威胁!
万幸的是人类身体里的生物自防御机制却可以让计算机系统在险恶的互联网环境里更安全。我们人类神秘的大脑和身体里还有太多太多的秘密等待着我们去发掘...
欢迎学术研究、技术交流、批评指正:[email protected]
