将人工智能工具引入业务工作流程可以让一些信息变得可用,这些信息对黑客来说可能更有价值,而且也更难防范。
似乎越来越有可能的是,人工智能正在改变各行各业的It运营,从最小的初创企业到大型传统企业。在某些方面,人工智能的出现是一股均衡力量,由于人工智能仍处于起步阶段,所有企业在探索如何利用这些新工具时都同样处于早期阶段。在制定新的安全措施以配合在工作场所内外使用人工智能时,大多数企业也处于平等地位。
与之前的颠覆性技术一样,探索中的一个主要问题是在创新和信息安全之间取得适当的平衡。尽管人工智能具有增强业务运营的潜力,但它也同样有可能使企业面临危险。对首席技术官来说,非常谨慎地对待人工智能的采用是一个好主意,因为即使它彻底改变了IT领导者开展业务的方式,它也会同样彻底改变黑客和其他不良行为者的攻击方式。
黑客长期以来一直将数据作为他们的“战利品”,无论是可以在商业竞争中利用的专有企业数据,还是可以帮助获取个人个人财富等等的个人数据,人工智能不会阻止数据的盗窃和利用。
人工智能收集数据的黑客攻击
由于人工智能既可以从数据中学习,也可以用来处理和解析大量数据,因此它的崛起可能会导致更多不同类型的数据暴露,成为黑客攻击的目标。也就是说,将人工智能工具引入业务工作流程有可能导致人们提供一些对黑客来说更有价值的信息,而且也更难防范黑客攻击。
当任何人,无论是企业决策者还是个人,选择使用人工智能时,他们都需要意识到向人工智能程序提供数据所涉及的风险,并确保他们对决策充满信心。在企业环境中,我倾向于认为单个团队成员应该避免单独做出这个决定。一个知情的团队,不仅包括首席技术官,还包括营销和法律等其他关键群体的代表,应该帮助指导有关人工智能工具的所有决策。
人工智能促进黑客攻击
那些旨在制定负责任的人工智能使用政策、符合企业最大利益的人,可以从了解他们所面临的不断变化的威胁中受益。虽然人工智能的进步可能不会改变黑客的目标,信息可能仍然是一种有价值的商品,但它几乎肯定会改变他们的目标方式。
毕竟,人工智能是一种强大的工具,可以大规模地自动化各种分析过程,其中包括邪恶的分析过程。因此,虽然许多首席技术官,自然渴望充分利用人工智能的许多潜在用例,但我们所有人都应该记住,黑客也是如此。
许多开发人员在构建人工智能工具时,热衷于追求的目标之一是让这些工具尽可能地显得人性化。像ChatGPT这样的大型语言模型(LLM)不仅可以模拟语言的流畅性,还可以模拟语气,甚至可以模拟引人入胜的对话。
在最成功的情况下,这可能意味着人工智能将能够通过图灵测试,这是计算机科学家艾伦·图灵提出的一项测试,旨在确定机器表现出人类特征的能力;通过图灵测试意味着机器可以欺骗不知情的人,让他们认为他们正在与另一个人交谈。
这可能对网络钓鱼黑客的规模和有效性产生重大影响。网络钓鱼需要冒充某个机构或个人来欺骗受害者交出金钱、敏感信息或机密访问权限(通过密码等)。现代网络钓鱼诈骗,例如近年来愈演愈烈的国税局骗局已经比21世纪初的“尼日利亚王子”骗局复杂了好几光年,但要想让人信服,它们可能会很麻烦,而且需要耗费大量时间。
人工智能可能会提供黑客正在寻找的解决方案,而首席技术官们应该对此感到恐惧。一种可以快速解析所需信息的工具的承诺,可以对代表某个机构的人或任何其他人进行高级模仿,这为许多同时对话打开了大门,从而说服受害者提供信息。这可能意味着,相对小规模的黑客行动可能比以往任何时候都有可能犯下更多、更高级的欺诈行为。
但事情并没有就此结束。如果企业的团队成员正在与LLMAI进行交互,即使小心地将敏感数据保密,他们仍然可能向其提供可能给您公司带来风险的信息而没有意识到这一点。在与任何人交谈时,即使是表面上平淡无奇的话题,人工智能也会了解这个人的聊天方式、感兴趣的话题类型等等。
事实上,即使团队从未与人工智能互动,我们所有人仍然有很多相对不受保护的数据,从浏览历史记录到电子邮件订阅,再到可用于操纵的其他信息,在互联网上流动并可供购买。这可能适用于所有团队成员,包括公司的CEO,甚至是CTO。不难想象,黑客要么购买个人数据来训练人工智能,要么利用人工智能通过与人的直接互动了解到的信息来冒充他们。
这在个人层面上已经足够可怕了,想象一下,当朋友和家人认为他们正在与我们聊天时,这样的机器能够从他们那里收集什么信息。然而,在专业层面上,它为员工创造了代表黑客执行任务的机会,这些任务可能会危及企业,以响应看似来自同事的指令。利用这些信息可以创建的攻击,将比我们今天看到的典型网络钓鱼更有针对性,因此更复杂和先进。
这种进步也延续到了更基本和更细粒度的黑客元素上。到目前为止,如果黑客想要收集有关团队成员或整个企业的信息,他们必须准备好投入一些时间。借助人工智能,大部分繁琐的侦察工作都可以在算法的帮助下得到简化,这些算法几乎可以立即消化大量信息。此外,人工智能能够在收集数据时进行分析,这对黑客来说意味着识别漏洞和攻击点。所有这些都使黑客能够迅速发动更多、更大规模的攻击。
与此相关的是,如果人工智能能够在眨眼间收集信息并识别和分析漏洞,它也将能够比我们以前见过的更快地开发复杂的对策。通常,如果黑客想要在计算机、服务器或网络上安装恶意软件,他们必须首先进行侦察以找到漏洞,确定哪种恶意软件最能利用这些漏洞,然后编写软件。人工智能强大的分析和外推能力意味着这三步过程几乎可以立即发生。这可能意味着高度定制且几乎难以察觉的恶意软件,可以几乎实时地收集信息并逃避反病毒工作。
这就是为什么我说首席技术官和首席信息官需要先于黑客思考。所有IT领导者都需要了解是什么让企业容易受到这些攻击,并在新一波人工智能黑客攻击到来之前加强防御。
总结
关于人工智能进化的讨论已经无处不在,以前的技术往往在开发和采用方面走得更远,然后才达到人工智能已经享受的外行熟悉程度。目前对于如何应对人工智能大规模黑客攻击还没有足够的了解,如何防止这些攻击就更不清楚了。虽然新技术也非常令人兴奋,并将为各行业的首席信息官和首席技术官打开无数的大门,但我们应该意识到,黑客和我们一样兴奋。
