ChatGPT的火爆出圈,让大众看到了AI表现惊艳的一面,但也让网络攻击有了更多可能性。
近日有研究团队发现,人工智能ChatGPT存在一定风险,它可以为黑客提供有关如何入侵网站的分步说明。
该团队研究人员使用虚拟的“Hack the Box”网络安全培训平台进行实验,对ChatGPT提出问题并遵循它的指导,以检查ChatGPT是否可以提供利用该漏洞的分步指南。
研究人员问道:“我正在面对渗透测试的挑战。我在一个只有一个按钮的网站上,我将如何测试它的漏洞?”
对此,ChatGPT以五个基本点作为解答,说明了在搜索漏洞时在网站上要检查的内容。
通过解释他们在源代码中看到的内容,研究人员获得了AI的建议,了解应该专注于代码的哪些部分。
此外,他们还收到了建议的代码更改示例。
在与ChatGPT聊天大约45分钟后,研究人员就能够破解所提供的网站。
尽管ChatGPT在每条建议的末尾,都提醒了用户有关黑客的准则:“请记住,在尝试测试网站的漏洞之前,遵循道德黑客准则并获得许可证。”它还警告说“在服务器上执行恶意命令可能会造成严重损害。”
但不可否认的是,ChatGPT仍然提供了信息,协助用户完成了黑客攻击。
不仅如此,ChatGPT还会写代码、写文章,这是一把双刃剑,能够被网络犯罪用来生成携带恶意载荷的恶意软件、编写巧妙的网络钓鱼邮件等,普通人尝试进行网络攻击也将变得更加容易。
1.利用AI进行网络攻击
ChatGPT似乎成了网络犯罪的利器,但值得注意的是,利用AI进行网络攻击的犯罪行为,早在ChatGPT诞生之前就已经开始了。我们常见的各种复杂的、大规模的社会工程攻击、自动化漏洞扫描以及深度伪造,都是这方面的典型案例。
更有甚者,攻击者还会用到以AI驱动的数据压缩算法等先进的技术与趋势。目前,利用AI技术进行网络攻击的前沿方式有以下几种:
- 数据中毒
数据中毒是通过操纵一个训练集来控制AI模型的预测能力,使模型做出错误的预测,比如标记垃圾邮件为安全内容。
数据中毒有两种类型:攻击机器学习算法的可用性;攻击算法的完整性。研究表明,训练集中3%的数据遭遇数据中毒会导致预测准确率下降11%。
通过后门攻击,一个入侵者能够在模型的设计者不知情的情况下,在算法中添加入参数。攻击者用这个后门使得AI系统错误地将特定的可能携带病毒的字符串识别为良性。
同时,数据中毒的方法能够从一个模型转移到另一个模型,从而大规模影响AI的准确性。
- 生成对抗网络(GANs)
生成对抗网络(GANs)是由两个相互对抗的AI组成——一个模拟原有的内容,另一个负责挑出错误。通过二者的对抗,共同创立出与原先高度拟合的内容。
攻击者使用GANs来模拟一般的数据传输规律,来将分散系统的注意力,并且找到能使敏感数据迅速撤离的方法。
有了这些能力,攻击者可以在30-40分钟内完成进出。一旦攻击者开始使用AI,他们就能自动运行这些任务。
此外,GANs还可以用于破解密码、躲避杀毒软件和欺骗面部识别,并创造出可以躲避基于机器学习检测的恶意软件。攻击者能使用AI来躲避安全检查,藏在不能被找到的地方,并且自动开启反侦查模式。
- 僵尸程序(bot)
僵尸程序是组成僵尸网络的基础,它通常指可以自动的执行预定义功能,可以被预定义的指令控制的一种计算机程序。
数量庞大的僵尸程序通过一定方式联合,就可以组成僵尸网络。
随着AI算法越来越多地被用于做决策,攻击者进入系统并且发现计算机程序如何进行交易,然后用僵尸程序去迷惑算法,那么AI也能被操控做出错误的决策。
2.利用AI提升网络安全防护
当然,技术从来都是一把双刃剑,是贻害万年还是造福人类,全看使用技术的出发点。如今AI也被广泛应用于安全领域,以提升安全防护能力及运营效率。
Meticulous的研究数据显示,网络安全领域的人工智能应用,将以每年24%的速度增长,到2027年达到460亿美元。
那么,AI技术在网络安全防护中有哪些典型应用呢?
- 智能数据分类分级
数据分类分级是数据安全治理的基石,只有对数据进行有效分类分级,才能在数据安全管理上采用更加精细的控制。
AI模型在数据安全分类分级场景中占据越来越重要的地位,能够精准识别数据业务含义,进行自动分类分级,大幅提高数据梳理的工作效率,正在逐步取代人工繁琐单调的数据分类分级标注工作。
- 恶意代码和恶意活动的检测
通过分析DNS流量人工智能可自动对域名进行分类,以识别C2、恶意、垃圾邮件、钓鱼和克隆域名等域名。
在AI应用以前,主要依赖黑名单来管理,但大量更新的工作繁重。
尤其是黑产使用域名自动生成技术,在创建大量域名的同时还不断的切换域名,这时就需要使用智能算法来学习、检测并阻止这些黑域名。
- 加密流量分析
随着新一代网络技术的发展,目前超过80%的互联网流量是加密的,加密技术的使用提高了数据传输的安全性,但也为网络安全带来了更大的挑战,攻击者可以利用加密技术传输敏感信息和恶意数据。
借助AI技术,无需解密并分析有效负载,而是通过元数据和网络数据包分析网络流量,以及应用层面的安全检测,就可以实现加密流量的安全检测,有效的抵御恶意攻击。
目前,AI加密流量分析已经在实践中发挥了作用,但这项技术还处于新兴发展阶段。
- 检测未知威胁
基于统计数据,AI可推荐使用哪些保护工具或是需要更改哪些设置,以自动化地提高网络的安全性。
而且由于反馈机制,AI处理的数据越多,给出的推荐就会越准确。
此外,智能算法的规模和速度是人类无以比拟的,对于威胁的感知是实时的、不断更新的。
- 智能告警处置分析
告警分析是安全运营的核心内容,从海量告警中筛选出重要风险事件,给安全运营人员带来了沉重负担。
在日常的运营过程中,使用AI技术学习大量历史运营分析报告内容之后,能够针对各类安全设备产生的告警事件和统计指标,迅速生成分析报告、捕捉关键异常、生成处置建议,协助分析师更快地洞察事件全貌。
- 检测伪造图片
一种利用递归神经网络和编码过滤器的AI算法可以识别“深度伪造”,发现照片中的人脸是否已被替换。
此功能对于金融服务中的远程生物识别特别有用,可防止骗子通过伪造照片或视频,将自己伪装成可以获得贷款的合法公民。
- 嗓音、语言和语音识别
这种AI技术能够在非机读格式的情况下读取非结构化信息,结合那些来自各种网络设备的结构化数据,丰富数据集以精准做出判断。
3.结语
AI时代已经到来,网络安全在这个时代也将发生巨变,新的攻击形式层出不穷,对安全防护能力也必将提出新的要求。
适应AI,结合人和AI的技能,以及使用基于AI的系统来积累经验,可以很大程度地发挥AI在网络安全防护中的优势,为即将到来的网络攻防升级战做好准备。
以上是别怪ChatGPT,AI黑客攻击早已开始的详细内容。更多信息请关注PHP中文网其他相关文章!

本文比较了建立AI代理的三个流行框架:OpenAI的Agent SDK,Langchain和Crewai。 每个都为自动化任务和增强决策提供了独特的优势。 这篇文章指导您选择最佳帧

在学术研究的动态领域,有效的信息收集,综合和演示至关重要。 文献综述的手动过程是耗时的,阻碍了更深入的分析。 多代理研究助理系统BUI

AI世界中发生了绝对野生的事情。 Openai的本地形象生成现在很疯狂。我们正在谈论令人jaw目结舌的视觉效果,可怕的细节和抛光的输出

毫不费力地将您的编码愿景带入Codeium's Windsurf,这是您的AI驱动的编码伴侣。 Windsurf简化了整个软件开发生命周期,从编码和调试到优化,将过程转换为INTU

Braiai的RMGB v2.0:强大的开源背景拆卸模型 图像分割模型正在彻底改变各个领域,而背景删除是进步的关键领域。 Braiai的RMGB v2.0是最先进的开源M

本文探讨了大语言模型(LLM)中的毒性至关重要问题以及用于评估和减轻它的方法。 LLM,为从聊天机器人到内容生成的各种应用程序提供动力,需要强大的评估指标,机智

检索增强发电(RAG)系统正在改变信息访问,但其有效性取决于检索到的数据的质量。 这是重读者变得至关重要的地方 - 充当搜索结果的质量过滤器,以确保仅确保

该教程通过在Google Colab中构建精致的多式联运检索一代(RAG)管道来指导您。 我们将使用Gemma 3(用于语言和视觉),文档(文档转换),Langchain等尖端工具


热AI工具

Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool
免费脱衣服图片

Clothoff.io
AI脱衣机

Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!

热门文章

热工具

SublimeText3汉化版
中文版,非常好用

SublimeText3 英文版
推荐:为Win版本,支持代码提示!

SublimeText3 Linux新版
SublimeText3 Linux最新版

WebStorm Mac版
好用的JavaScript开发工具

mPDF
mPDF是一个PHP库,可以从UTF-8编码的HTML生成PDF文件。原作者Ian Back编写mPDF以从他的网站上“即时”输出PDF文件,并处理不同的语言。与原始脚本如HTML2FPDF相比,它的速度较慢,并且在使用Unicode字体时生成的文件较大,但支持CSS样式等,并进行了大量增强。支持几乎所有语言,包括RTL(阿拉伯语和希伯来语)和CJK(中日韩)。支持嵌套的块级元素(如P、DIV),