在 2022 年 11 月開始掀起的喧囂與評論聲浪中,我們檢視了 OpenAI 的 ChatGPT 對網路資安產業將帶來的可能性與影響,並且拿它與先前的產品 (如 GPT-3) 做一番比較。
自從一年多前 GTP-3 在全球造成轟動開始,我們就仔細研究了這項 AI 技術,並分析它為網路犯罪產業帶來了什麼能力與潛力。這些討論都收錄在我們的「Codex Exposed」系列部落格文章中,該系列特別從資安的角度來探討幾個最重要的技術面向:
本文探討今日人工智慧 (AI) 及機器學習(Machine learning,ML) 如何遭到不肖利用及濫用,並且提出一些網路犯罪集團未來如何利用這些技術來謀取不法獲利的可能情境。
趨勢科技、聯合國區域犯罪與司法研究院 (UNICRI) 以及歐洲刑警組織 (Europol)
人工智慧 (AI) 正促使全球快速邁向一個更充滿活力的世界。AI 是電腦科學底下一個與其他學門息息相關的子領域,蘊含著提升效率以及促進自動化與自主性的龐大潛力。簡而言之,AI 是第四次工業革命的核心技術,也是一把雙面刃。至於機器學習(Machine learning,ML) 則是 AI 底下的一個專門藉由大量資料分析與演算法來找尋模式和規律的子領域,可讓企業機構與政府機關實現一些重大計畫,最終將驅動創新並改善營運。
AI 及 ML 在商業領域的結合相當普遍,事實上,截至 2020 年為止,已有 37% 的企業和機構以某種形式將 AI 整合到他們的系統與流程當中。有了這類技術的工具,企業就能更準確地預測客戶的購買行為,進而增加營收。某些企業在 ML 與 AI 工具的協助下,創造了驚人的業務,Amazon 即是一例,該公司 2018 年的市值已經達到一兆美元。
儘管 AI 和 ML 扮演了企業、關鍵基礎建設以及各種產業的重要支柱,並且協助人類因應一些重大的挑戰 (如 Covid-19 疫情),但這些技術卻也讓各式各樣的數位、實體以及政治威脅浮上檯面。企業機構及一般個人若想確保自身安全、防範 AI 技術遭不肖之徒利用或濫用,就必須學習認識並了解 AI 系統遭惡意濫用的風險。
由趨勢科技、聯合國區域犯罪與司法研究院 (UNICRI) 以及歐洲刑警組織 (Europol) 聯合製作的研究報告「人工智慧的不肖利用及濫用」(Malicious Uses and Abuses of Artificial Intelligence) 一文,不僅探討了當今 AI 與 ML 技術遭到不肖利用及濫用的現況,更提出了一些網路犯罪集團未來如何利用這些技術來謀取不法獲利的可能情境。
AI 與 ML系統對企業來說不可或缺的一些功能,例如藉由大數據分析來自動產生預測並發掘一些不斷出現的模式和規律,剛好就是網路犯罪集團用來謀取不法獲利的功能。
換臉、控制嘴唇,植入假造的音源檔,流傳在網路上萬個造假影片,用 #Deepfake #深偽技術 製造的。如果你的老闆在 Youtube 上有很多影音,得當心被利用了
這項技術已被網路犯罪集團用來圖利,已出現的案例是模仿大老闆的聲音,語調、斷句及腔調,進行語音網路釣魚,騙走 24.3 萬美金。😰
本文說明幾種運用機器學習技術的駭客概念驗證與真實攻擊案例來說明當前機器學習在網路威脅領域的應用現況與未來可能性。
資安廠商正運用機器學習(Machine learning,ML)技術來改善其威脅偵測能力,協助企業強化惡意程式、漏洞攻擊、網路釣魚郵件、甚至未知威脅的防禦能力。Capgemini Research Institute 針對機器學習在資安上的應用做了一份研究,他們發現在所有受訪的 10 個國家 850 位資深高階經理當中,約有 20% 在 2019 年之前便已開始運用機器學習技術,另有 60% 將在 2019 年底前開始採用。
機器學習在網路資安領域的應用已證明相當有效,更別說在其他眾多產業也獲得了相當的成果。不過這項技術卻也存在著被犯罪集團吸收利用的風險。儘管機器學習變成大規模犯罪武器的可能性似乎還很遙遠,但有關這方面的研究,尤其是利Deepfake 深度偽造技術來從事勒索或散布假訊息,近來在 IT 業界與一般大眾之間已掀起了一波熱議。
為了進一步說明當前機器學習在網路威脅領域的應用現況與未來可能性,以下說明近幾年來一些運用機器學習技術的駭客概念驗證與真實攻擊案例:
繼續閱讀
