人工智能正在为软件开发人员赋予以前被认为难以想象的新能力。新的生成式人工智能可以提供复杂、功能齐全的应用程序、调试代码或使用简单的自然语言提示添加内嵌注释。
它已准备好以指数方式推进低代码自动化。但与此同时,新一代人工智能可能会为不良行为者提供帮助,这意味着 DevSecOps 必须同步发展,以进一步提高应用程序安全性。
人工智能时代存在许多潜在的网络安全问题。
其一,新的大型语言模型的任务可以是模拟用户并为社会工程工作带来更多类似人类的交互。人工智能技术可用于撒下更广泛的网络攻击网,而犯罪者则保持低调。
与此同时,生成式人工智能预计将为有针对性的黑客攻击带来更多复杂性,例如加速指纹哈希策略。
进一步了解这种新的人工智能驱动范式中网络安全的细微差别。下面,我们将考虑由生成人工智能引起的最紧迫的漏洞是什么;这些工具如何帮助攻击者,并探讨网络安全应如何应对,以赢得与恶意行为者的人工智能竞赛。
生成式人工智能可能带来的风险
首先,生成式人工智能可能给网络安全维护者带来哪些主要风险?最明显的用途是模仿人类模式和掩盖机器人攻击。例如,生成式人工智能可以生成加密哈希值,赋予机器人真正的人性。
所有这些只会加剧网络安全多年来一直阻碍的机器人流量问题。这是同样的说法,但现在情况变得更糟了。这是一艘正在吸收的火箭飞船。
第二个领域是使用生成式人工智能来放大社会工程策略。身份盗窃已经成为最终用户普遍关心的问题。但下一代人工智能可以增强模仿能力,并使网络钓鱼活动更加成功。
这还意味着使用表单和基于电子邮件的方案对边缘进行的攻击可能更难以发现。在保护身份方面已经取得了很多良好进展。然而,必须对人工智能的影响进行更多的教育,并且系统必须不断发展以寻找新的模式。
CI/CD 管道中还有很多身份可以伪造的地方。
事实上,OWASP 将身份和访问管理不足列为CI/CD 管道安全的第二大风险。人工智能可以通过扫描暴露端点中的授权差距来加剧访问控制问题。
区分人工智能机器人和合法流量
那么,随着恶意流量变得更加离散,软件提供商如何区分人工智能流量和真实使用流量?
系统肯定需要围绕表单、电子邮件和直接消息进行更多的输入验证和垃圾邮件检测。
在电子商务购买等领域,验证操作的身份也至关重要。双方都必须发挥创造力才能捕捉到真实的东西。
对于老式的拒绝服务攻击,重复访问同一 URL 是一个明显的攻击特征,DDoS 活动将继续下去。
值得庆幸的是,我们有一套成熟的工具来监控网络流量。大型云提供商已经拥有机器学习机制来检测标准机器人流量。
然而,现在判断人工智能驱动的新一波机器人流量会是什么样子还为时过早。
我们首先需要学习如何训练机器来检测这些新攻击类型何时发生以及流量如何分布。开发区分两者的模型需要时间。
但一旦完成这种检测,网络安全系统将快速发展。这是即将到来的下一波浪潮,也是我们处理数字产品的方式。
如何赢得与攻击者的人工智能竞赛
那么,安全开发人员应该采取哪些步骤来赢得与攻击者的人工智能竞赛呢?围绕常见威胁保持透明度。分享一些为即将到来的人工智能网络攻击做好准备的方法:
-
承认吧。接受人工智能支持的生成式黑客攻击浪潮即将到来。软件提供商必须发展 DevSecOps 并将AIOps融入到工具流程中。未来总是会到来,这需要成长心态来适应。
-
与社区分享。开源是我们所做一切的基础,当每件作品都是专有的时,它就为参与者提供了更多渗透系统的机会。因此,开发者社区应继续围绕开放透明度团结起来,并分享常见威胁和漏洞的知识。
-
训练定制模型。为了使网络安全防御有效,他们可能需要针对当前环境进行训练的独特模型,而不是通用的现成人工智能。然而,需要有共同的模型来设定基线。模型创建的透明度可以帮助社区标准化防御策略。
-
有意为之。你为人们解决什么问题?建议放眼全局并考虑开发人员的体验,以便开发人员能够放心地实施新功能。最后,最好考虑训练大型模型对环境的影响,以确保能源故事是值得的。
-
说服领导层引导积极的变革。确保技术领导层充分意识到问题,并帮助他们实现鼓励该领域创新的价值主张以及它如何影响底线。
保持领先一步
为了保护最终用户,组织必须继续确保他们像对待软件质量一样重视安全性。
为了在这个新的人工智能时代领先于对手,对新的生成式人工智能的网络安全研究必须走得更远。我们必须领先一步。
技术将先于合规性出现。因此,组织应该在法规生效之前重新评估其安全态势,以确保合规性。
尽管目前市场上可能存在一些人工智能洗牌行为,但总体而言,这是一个值得关注和投资的明智领域,这就是未来。