聲明：該文章來自（SiliconANGLE）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

雖然人工智能代理有望引領(lǐng)下一波人工智能創(chuàng)新，但它們也將為網(wǎng)絡(luò)攻擊者提供更強大的工具來探測企業(yè)防御中的漏洞。

這是身份平臺初創(chuàng)公司Stytch Inc.首席執(zhí)行官 Reed McGinley-Stempel 的說法。OpenAI???LLC 的 GPT-4 大型語言模型于今年年初首次亮相，在識別網(wǎng)站安全漏洞方面似乎比其前輩更有效?！叭绻愠鲇谡_的理由使用人工智能，它應(yīng)該可以改善網(wǎng)絡(luò)安全，但我們看到它在另一端的發(fā)展速度要快得多，攻擊者意識到他們可以使用代理人工智能手段來獲得優(yōu)勢，”他說。

他指出，伊利諾伊大學(xué)厄巴納-香檳分校的研究人員于 4 月發(fā)表的一篇論文發(fā)現(xiàn)，GPT-4 可以編寫復(fù)雜的惡意腳本，以 87% 的成功率查找 Mitre Corp. 的常見漏洞和暴露列表中的漏洞。使用 GPT-3.5 進行的類似實驗的成功率為 0%。該論文稱，GPT-4 在探測弱點時能夠一次執(zhí)行多達 50 個步驟。

這引發(fā)了人們對人工智能代理大軍不斷攻擊防火墻尋找漏洞的擔(dān)憂。“GPT-4 現(xiàn)在可以有效地成為黑客的自動滲透測試器，”McGinley-Stempel 說?！澳憧梢院苋菀椎亻_始看到代理操作被串聯(lián)在一起，一個代理識別漏洞，另一個代理專注于利用漏洞?！?/p>

防守隊員實力懸殊

他說，這種持續(xù)的滲透測試超出了大多數(shù)網(wǎng)絡(luò)安全組織的能力范圍?！霸S多組織可能每年都會進行一次滲透測試，但一年內(nèi)應(yīng)用程序或網(wǎng)站中的很多東西都會發(fā)生變化，”他說。“公司內(nèi)部的傳統(tǒng)網(wǎng)絡(luò)安全組織并不是為持續(xù)的自我滲透測試而建立的。”

Stytch 正在嘗試改進 McGinley-Stempel 所說的流行身份驗證方案的弱點，例如全自動公共圖靈測試（用于區(qū)分計算機和人類），或 captcha，這是一種用于確定與系統(tǒng)交互的用戶是人類還是機器人的質(zhì)詢-響應(yīng)測試。Captcha 代碼可能要求用戶解讀亂碼字母或計算圖像中的交通信號燈數(shù)量。

Stytch 的技術(shù)為每位訪客創(chuàng)建了獨一無二的持久指紋。該公司聲稱，其軟件可以 99.99% 的準(zhǔn)確率檢測出自動訪客，例如機器人和無頭瀏覽器，而無需用戶交互。無頭瀏覽器是一種沒有圖形用戶界面的瀏覽器，主要用于加速測試等自動化任務(wù)，但也可用于混淆身份驗證系統(tǒng)，使其無法判斷訪客是人類還是機器。

Stytch 最近在客戶網(wǎng)站上檢測到的無頭瀏覽器自動化流量百分比有所增加，這表明惡意行為者已經(jīng)在使用生成式人工智能來自動發(fā)起攻擊。McGinley-Stempel 表示，自 GPT-4 發(fā)布以來，來自無頭瀏覽器的網(wǎng)站流量幾乎增加了兩倍，從 3% 增加到 8%。

他說，人工智能將進一步削弱驗證碼的價值。生成式人工智能視覺和無頭瀏覽器的結(jié)合可以挫敗要求訪問者識別物體和圖像的方案，這是一種常見的用例。即使是復(fù)雜的自動化檢測技術(shù)也可以被 Acaptcha Development LP 的Anti-Captcha等服務(wù)挫敗，該服務(wù)將驗證碼解決方案外包給人類工作人員。

他說：“讓某人面對驗證碼會增加攻擊的成本，但這不一定是真正的測試?！?/p>

人工智能軍備競賽

他說，最終，使用人工智能和模型來解決網(wǎng)絡(luò)安全挑戰(zhàn)將大多是無效的。“如果你只是在進攻方用機器學(xué)習(xí)模型來對抗，在防守方用機器學(xué)習(xí)模型來對抗，你就會陷入一些糟糕的概率情況，而這些情況并不一定有效，”他說。

概率安全基于概率提供保護，但假設(shè)無法保證絕對安全。Stytch 正在研究指紋識別等確定性方法，該方法根據(jù)已知特征收集有關(guān)設(shè)備或軟件的詳細信息，并可以更高程度地確保用戶的身份與其聲稱的身份相符。

企業(yè)可以利用現(xiàn)有技術(shù)采取的最有效的預(yù)防措施是分布式拒絕服務(wù)攻擊預(yù)防、指紋識別、多因素身份驗證和可觀察性相結(jié)合。他說，最后一種技術(shù)經(jīng)常被忽視。

“如果你在你的網(wǎng)站上嵌入我們的設(shè)備指紋 JavaScript 代碼片段，你將在一小時內(nèi)獲得大量有趣的數(shù)據(jù)，了解你的流量中有多少百分比是機器人、無頭瀏覽器和真人，”他說。信息技術(shù)高管經(jīng)常驚訝地發(fā)現(xiàn)Imperva Inc.今年早些時候報告的內(nèi)容：現(xiàn)在幾乎一半的互聯(lián)網(wǎng)流量來自非人類來源。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/