根据 Gartner 最新发布的报告,人工智能(AI)在网络攻击中的应用已连续三个季度成为企业面临的最大风险。
该咨询公司在7月至9月期间对286位高级风险与审计执行官进行了调查,结果显示,80% 的受访者对 AI 增强的恶意攻击表示了深切的担忧。这一趋势并不令人意外,因为有证据表明,利用 AI 进行的网络攻击正在上升。
图源备注:图片由AI生成,图片授权服务商Midjourney
报告中还列出了其他一些新兴风险,包括 AI 辅助的信息误导、日益加剧的政治极化以及不匹配的组织人才配置等。攻击者正在利用 AI 撰写恶意软件、制作网络钓鱼邮件等。以 HP 为例,研究人员在6月份拦截了一场传播恶意软件的邮件活动,怀疑其脚本是借助生成式 AI 撰写的。该脚本结构清晰,每个命令都有注释,这在人工编写中并不常见。
根据安全公司 Vipre 的数据显示,2023年第二季度,商务邮件欺诈攻击数量比去年同期增加了20%,其中近五成是由 AI 生成的。CEO、HR 和 IT 人员成为了主要目标。Vipre 的首席产品和技术官 Usman Choudhary 表示,罪犯们正在利用复杂的 AI 算法来制作引人信服的钓鱼邮件,模仿合法通讯的语气和风格。
此外,根据 Imperva Threat Research 的报告,从4月到9月,零售网站每天平均遭受569,884次 AI 驱动的攻击。研究人员指出,像 ChatGPT、Claude 和 Gemini 等工具,以及专门抓取网站数据以训练大型语言模型的机器人,正被用于进行分布式拒绝服务攻击和业务逻辑滥用等活动。
越来越多的道德黑客也承认使用生成式 AI,比例从去年的64% 上升至77%。这些研究人员表示,AI 可以帮助进行多渠道攻击、故障注入攻击和自动攻击,从而同时攻击多个设备。正如此,如果 “好人” 觉得 AI 有用,“坏人” 同样会利用这一技术。
AI 的崛起并不令人惊讶,因为它降低了网络犯罪的门槛,让技术水平较低的犯罪者也能借助 AI 生成深度伪造、扫描网络入口、进行侦察等。瑞士联邦理工大学的研究者最近开发出一种模型,能够100% 解决 Google reCAPTCHA v2的问题。安全公司 Radware 的分析师在年初就预测,私有 GPT 模型的出现将被用于恶意目的,零日漏洞和深度伪造诈骗的数量也将随之增加。
Gartner 还指出,IT 供应商的关键性问题首次进入了高管的关注名单。Gartner 风险与审计实践高级总监 Zachary Ginsburg 表示,集中依赖单一供应商的客户可能面临更高的风险。就像 dStrike 在7月份发生的事件,导致全球850万台 Windows 设备瘫痪,给应急服务、机场和执法机构等带来了巨大影响。