注:投诉基本信息、投诉问题为当事人在全国12315平台投诉时自行填写。
注:投诉基本信息、投诉问题为当事人在全国12315平台投诉时自行填写。
(原标题:大模型革新网络安全:是矛,也是盾)
21世纪经济报道记者白杨 北京报道
7月中旬,因为一款软件的错误更新,让微软发生了波及全球的蓝屏故障,全球多国的金融、航空、医疗、交通等行业因此停摆,造成的经济损失或超过10亿美元。
该事件也给整个社会再次敲响了警钟:数字世界与现实世界的距离不再遥远,网络安全风险将直接影响人们的生活。
然而经过多年发展,网络安全形势并未有所缓和,反而随着各行业数字化进程的不断提速变得愈发严峻。公开数据显示,与往年相比,2023年曝光的通用安全漏洞又创新高,其中包含了大量遭黑客积极利用的高风险漏洞。与此同时,网络黑灰产团伙也十分活跃,DDoS攻击、Web应用攻击、API攻击、网络爬虫、业务欺诈等几种活跃性攻击的趋势有增无减。
与此同时,大模型技术的快速发展,更是给网络安全行业带来了全新的挑战。在7月31日召开的第十二届互联网安全大会上,中国工程院院士吴世忠提出,人工智能的应用极大地改变了安全问题的内涵和外延。
“现有的网络安全,已经变成传统安全,由人工智能技术带来的未知的、难以预测的新型安全问题,正成为新的挑战。”吴世忠说。
360集团创始人周鸿祎也表示,AI大模型的浪潮势不可当,这是新一轮产业革命,在这过程中,安全和AI也将紧密交织在一起。
但他强调,AI确实会带来更多的安全问题,可同时,AI也可以成为解决安全问题的新手段和技术。
攻击者的“武器”
网宿安全近日发布的《2023年互联网安全报告》(以下简称《报告》),直接揭示了生成式AI给网络安全行业带来的具体影响。
《报告》显示,2023年,网宿安全监测到的全球Web应用程序攻击数量达到7309亿次,同比增长30%,其中,很多网络攻击的增长是由生成式AI技术带来的。
根据《报告》,2023年,Web应用漏洞利用攻击为416亿次,同比增长8%。其中,“HTTP协议违背”依旧是排名第一的因素,但相比2022年下降了3.8%。
“这说明这类攻击正逐步摆脱一眼就能看破的低级攻击,转向利用自动化工具甚至生成式AI技术构造的更为聪明的攻击,这也推动了攻击数量的增长。”网宿安全高级总监胡钢伟在接受21世纪经济报道采访时指出。
据其介绍,使用生成式AI,能够比常见的FUZZ工具在生成语法和逻辑结构上更加复杂和隐蔽地攻击Payload, 其中一部分已经能够绕过当前针对FUZZ工具的检测手段。
同样,生成式对抗网络(GANs) 也可以用来生成复杂的恶意软件变种,这让传统的基于签名的恶意软件检测方法失效。
另外,使用Transformer等自然语言处理技术,已经可以对已知的攻击策略和漏洞信息进行学习,进而生成专门针对新发现的漏洞的攻击代码,这让攻击代码的生成变得更加简单。
胡钢伟向记者表示,“生成式AI在提升效率的同时,已成为攻击者武器库的一部分。它能够让现有攻击更隐蔽、逃避检测,同时还能生成攻击代码,让自动化的攻击以及漏洞利用的效率变得更高。”
以模制模
对于AI带来的安全挑战,周鸿祎认为主要包括两个层面:一是AI一定会成为坏人的工具,所以未来的网络安全不再是人跟人的对抗,而是变成人和机器,甚至是机器与机器的对抗;二是大模型自身的安全风险也会给行业带来前所未有的挑战。
但他同时提出,AI也能解决安全行业的很多痛点,比如海量数据分析、快速安全处置、追踪溯源、安全专家人力不足等。
因此对安全行业而言,大模型技术是矛,也是盾。而要想解决大模型带来的安全问题,就得用“魔法打败魔法”——用大模型解决大模型的安全问题。
据胡钢伟介绍,针对Bot攻击,网宿安全基于AI的智能识别已经贡献了超40%的Bot识别率,而且这一比例还在上升。
而360则推出了国内首个安全大模型。据周鸿祎介绍,360安全大模型由攻击检测、运营处置、追踪溯源、知识管理、数据保护、代码安全等六大专家子模型组成,安全垂直能力已经超过GPT-4。
周鸿祎提出,作为大模型重要场景,安全行业2024年将迎来新革命,要“以模制模”重塑安全。他认为,打造安全大模型是安全迈向“自动驾驶”的必由之路,“用AI升级安全要有类似自动驾驶L1-L5级别的目标,360安全大模型目前已具备L4级能力,相当于汽车的‘高级自动驾驶’”。
另外值得一提的是股票如何做杠杆,周鸿祎还宣布对所有购买360标准产品的用户免费提供大模型标准能力。“我们要把大模型拉下神坛,把‘免费’贯彻到底。我们不希望大模型成为少数厂商掌握在手里的赚钱利器。”周鸿祎说。