︿

駭客的「終極完美武器」:人工智慧

林怡 2017年10月11日 07:01:00

人工智慧(artificial intelligence,AI)與人腦的對決在近期屢見不鮮,但如果 AI 和人類挑戰網路釣魚(phishing),會是誰勝誰負呢?

 

網路安全公司「ZeroFOX」的兩位數據科學家 2016 年進行一場實驗,他們教導 AI 研究社群網路用戶的行為模式,設計並丟出網路釣魚的誘餌,吸引用戶點擊連結上鉤。

 

期待人類逆轉勝的結果嗎?可惜並沒有這類的奇蹟發生。

 

名為「SNAP_R」的 AI 平均每分鐘發出 6.75 則推特,試圖詐騙 800 多名用戶,並成功吸引 275 名用戶點擊;相較之下,富比士(Forbes)研究犯罪安全的記者福克斯布魯斯特(Thomas Fox-Brewster)只發出 129 次嘗試,吸引了 49 名用戶。

 

不論是拋出的魚餌數或上鉤的用戶數,AI 都壓倒性的擊垮人類。

 

 

AI 早為駭客所利用?

 

雖然這僅是一場實驗,卻也顯示出 AI 的確可被用來進行惡意攻擊。事實上,雖然難以證實,但駭客很有可能早已這麼做了。

 

2017 年 7 月美國駭客年會黑帽大會(Black Hat USA)上,數百名網路安全專家齊聚一堂討論科技帶來的新興威脅,在其中一場投票中,有 62%的與會者認定未來網路駭客將利用 AI 進一步攻擊資安。

 

 

安創資訊(Cylance)的安全數據科學家華勒斯(Brian Wallace)認為,駭客已經好一段時間把 AI 當做武器使用了,「因為駭客攻擊要達到一定規模,得盡可能攻擊用戶,攻擊到越多目標越好,但同時還要降低被發現的風險。」華勒斯指出,AI 還有機器學習(machine learning)就是「終極完美武器」。

 

不過令人驚訝的是,同時有一大批資安專家認為,AI 短期內並不會被駭客用來網路詐騙。會出現這樣的分歧,可能起因於大家對 AI 的定義皆有所不同。

 

何謂 AI?

 

《未來的犯罪》作者古德曼(Marc Goodman)認為,隨著技術持續發展,人們對 AI 的概念也不斷在改變。

 

 

歸根究柢,AI 的 I 代表的是無論是生物或機械的「代理人」(agent)具備「解決複雜問題」的能力,但其實人們已經擁有許多具備這種功能的工具,只是因為持有的時間過長,只要再有這樣的工具出現,我們就幾乎立即視其為理所當然。

 

好比在計算機剛出現時,這個比人類運算快上幾百萬倍的機器被認為是技術上的一大進步,但現在沒人會認為計算機很特別;又或者是 1997年 擊敗世界棋王的 AI 深藍(Deep Blue),曾經被視為人類智力的最高指標。

 

如今,在機器學習、自然語言處理(natural language processing)、神經網路(neural networks)等多方發展下,人們也同樣改變了對機器智慧(machine intelligence)的看法,像是語音助理 Siri、自駕車或疾病診斷功能,都已被認為再平常不過。如果人們忽視這些工具的力量,那麼也可能會忽略打算開發 AI 潛力的人,像是駭客。

 

 

華勒斯認為資安專家談論 AI 時,談論的領域更加廣泛也更加簡化,看起來也變得「比較不那麼嚇人」。

 

用 AI 做壞事的可能性

 

行動裝置安全防護公司「Zighra」執行長杜特(Deepak Dutt)認為,在不久的將來,運用複雜的 AI 系統進行網路攻擊的可能性很高,甚至很可能早已被部分國家如俄羅斯、中國所利用。

 

 

 

杜特指出,AI 可藉由挖取公共領域(public domain)和社群網路的大數據,得到出生日期、電話、位置、電子信箱等身分訊息,用來駭進個人帳號。此外,也可以用 AI 監控電郵、發送的文字訊息,甚至量身打造個人化的釣魚信件,來進行社交工程(social engineering)的駭客攻擊。

 

網路安全公司「Recorded Future」技術長徹夫(Staffan Truvé)雖認同 AI 日益普遍後,就越有可能被用來當作攻擊工具,不過當今駭客並不如某些人所說的,正在使用 AI 進行網路攻擊。

 

徹夫認為駭客目前仍運用相對簡單的演算法,如自修改代碼(self-modifying code),或者使用自動化方案進行網路釣魚。「如果老派的暴力攻擊法還有用,你還會花時間跟金錢去嘗試新的方式嗎?」

 

 

用 AI 對付 AI

 

要對付 AI 所產生的網路攻擊,恐怕也只有 AI 本身能夠達成此目的,而這樣的作法,將使人類越來越仰賴智慧系統。

 

「對安全專家來說,這問題攸關大數據(Big Data),」安全數據科學家華勒斯說,「一旦你開始對付敵人,你就只能把 AI 當作武器使用。」華勒斯建議資安公司著手展開研究,發展專屬於公司的 AI 武器來保護資料安全。

 

美國國防高等研究計劃署(Defense Advanced Research Projects Agency,DARPA)規劃類似「奪旗」(Capture the flag,CTF)的資安競賽,AI 開發者互相挑戰彼此,而最強的 AI 開發者終將「適者生存」。

 

《未來的犯罪》作者古德曼認為,人類將「出於需要」而愈發頻繁使用 AI,「從偵查詐騙到打擊網路犯罪皆然」,而事實上也的確如此,多家新創公司正和 IBM 的超級電腦「華生」(Watson)共同合作,打擊網路威脅。






【加入上報國際圈,把繽紛世界帶到你眼前!】

提供新聞訊息人物邀訪異業合作以及意見反映煩請email至國際中心公用信箱: intnews@upmedia.mg,我們會儘速處理。

 

 

 



回頂端