ChatGPT可以是一个有用的客户服务代理。不幸的是,客户并不是它唯一能帮助的人,尤其是现在ChatGPT在许多物联网和边缘设备上。
物联网(IoT)和边缘计算多年来一直困扰着企业的安全工作。鉴于在家工作和混合工作安排的复杂性增加,情况最近大大恶化。现在,ChatGPT出现在大多数物联网和边缘设备之上,有效地添加了援助之手,以威胁无处不在的参与者。
现有的漏洞,特别是在针对边缘设备和用户的人工智能和ChatGPT支持或辅助攻击的背景下,可以通过不同的方式利用来攻击企业。
尽管漏洞存在差异且利用漏洞的努力也多种多样,但来自边缘的威胁源自两个物联网领域之一:家庭物联网和企业物联网。
在许多情况下,员工家庭网络及其中的数据是威胁行为者的首选目标。
一旦进入家庭网络,攻击者就可以重新进入企业网络,从而可能通过“受保护的用户或家庭网络”泄露敏感的商业信息。
但这并不是说企业物联网和边缘设备会受到更直接的入侵。
例如,勒索软件威胁行为者可以利用物联网漏洞作为开展恶意活动的起点,可能对业务运营造成重大损害和中断。
企业物联网中不断变化的威胁形势
物联网和边缘计算在家庭和企业领域的使用率都在上升。虽然物联网是一个高度分散的市场,但即使是少数类别的观点也强调了全面持续且不受限制的增长。Gartner预计,到2022年,企业领域和关键行业的物联网支出将超过2680亿美元。Deloitte预计,今年全球与物联网相关的软件和硬件支出将增至1.1万亿美元。
但这些挑战不仅仅与购买和部署的物联网和边缘设备数量不断增加有关。物联网类型的日益多样化也引发了问题。
边缘和物联网设备的多样性,从交换机、路由器、传感器到销售点系统、工业机器人和自动化设备,也由于协议、功能和安全能力的变化而增加了额外的复杂性和安全漏洞。
如果认为供应商和买家在保护这些设备方面已经做得很好了,那么再想想。僵尸网络大军和DDoS攻击经常来自未受保护的物联网设备,这些设备看似无害,如酒店大堂水族箱恒温器、家用智能冰箱和企业休息室的咖啡壶。
物联网设备,尤其是边缘设备,是组织中最容易受到攻击的。
家庭和工作的危险之处
物联网和边缘计算在其他地方也会产生漏洞。例如,不断扩大的边缘计算空间给企业带来了复杂的安全问题——尤其是在企业和消费者使用之间的边界。
现代图像存档系统,称为PACS,将超声波或CT扫描仪等扫描仪与患者管理系统连接起来。目前,PACS服务器越来越多地连接到公共互联网,以便患者和医生可以访问数据。通常,这些IT基础设施甚至连基本的预防措施都没有到位,并不坚强。
企业与消费者物联网和网络之间日益紧密的联系模糊了界限,并明确定义了攻击者的机会。
危险和损害也是双向的。
目前,仅在美国,就有大约200个此类未受保护的档案(PACS服务器)连接到公共互联网。攻击者可以利用这些漏洞,泄露或加密数据来勒索组织,利用这些数据对患者进行医疗保险欺诈,或者更改医疗图像,从而破坏流程本身。
但对企业而言,消费者和职业关系之间的十字路口并不是唯一的碰撞点。这些东西本身有交叉用途,会被破坏。例如,自动驾驶汽车既有商业版本,也有消费者版本。无论车辆是商业车队、出租或租用车辆,还是不情愿地再次回到办公室工作的员工所拥有的车辆,攻击都很容易传播到企业和用户。
然后,家庭物联网正在稳步推进,从摄像头到智能电表到儿童玩具。
另一个令人担忧的问题是,远程员工使用的人工智能增强家用设备存在漏洞。例如,会计人员最后一次更新其家庭路由器或家庭网络连接的存储服务器是什么时候,这些服务器是其在远程工作时用于备份企业工作的。这个问题进一步加剧了企业面临的挑战,因为这增加了知识产权被盗的风险。
ChatGPT和人工智能如何使物联网漏洞变得更严重
ChatGPT及其同类产品正在迅速集成或嵌入到各种类型的商业和消费者物联网中。许多人认为人工智能模型是迄今为止最复杂的安全威胁。但大多数想象都是虚构的。
现在,如果真正的人工智能出现,那么它是否离人类很远,这令人十分担忧。不过,在短期内开发出真正的通用人工智能的可能性仍然非常低。
但对于最近引起轰动的人工智能ChatGPT,那就是另一种恐慌了。
ChatGPT对物联网构成了内部威胁,类似于流氓或‘无所不知的员工’所构成的威胁。一些消费者物联网漏洞会带来与微控制器或微处理器相同的风险。
从本质上讲,ChatGPT的潜在威胁源于其经过训练,变得有帮助和有用。然而,这样一个乐观的首要指令可能非常有害。即使当一个提示撞到其安全护栏时,另一个精心设计的提示也可以骗过它,使其执行护栏旨在防止的事情。
这种类型的攻击称为提示注入,因为提示用于使模型忽略先前的指令或执行意外的操作。提示注入可以直接在ChatGPT中使用,也可以在基于ChatGPT或其他大型语言AI模型构建的应用中使用。换句话说,这种类型的攻击可以注入位于物联网和边缘设备之上的ChatGPT。
此外,边缘设备中的人工智能和ChatGPT等新兴技术正在引入新的漏洞,企业需要注意这些漏洞。例如,人工智能算法可以被操纵来生成虚假数据,从而导致错误的决策和行动。ChatGPT还可以通过冒充受信任的个人或实体来进行社会工程攻击。
有时,可以使用一个提示来让ChatGPT和类似的基于LLM的聊天机器人显示用于指导其响应的后台或专有信息,这些信息从未被企业以外的任何人访问过。
当机密数据或源代码在ChatGPT等工具中共享时,就会为合规义务带来挑战,并使知识产权面临风险。
虽然不断演变的威胁像野火一样增长和蔓延,但并非所有威胁都消失了。
任何新技术都会带来风险,但这并不意味着风险都是全新的。事实上,企业可能会发现其已经拥有许多人员、流程和技术来减轻ChatGPT等工具的风险。
