人工智能代理可能引领下一波网络攻击

安全 PRO 稿源：SiliconANGLE 2024-12-29 06:09

虽然人工智能代理有望引领下一波人工智能创新，但它们也将为网络攻击者提供更强大的工具来探测企业防御中的漏洞。

这是身份平台初创公司Stytch Inc.首席执行官 Reed McGinley-Stempel 的说法。OpenAI LLC 的 GPT-4 大型语言模型于今年年初首次亮相，在识别网站安全漏洞方面似乎比其前辈更有效。“如果你出于正确的理由使用人工智能，它应该可以改善网络安全，但我们看到它在另一端的发展速度要快得多，攻击者意识到他们可以使用代理人工智能手段来获得优势，”他说。

他指出，伊利诺伊大学厄巴纳-香槟分校的研究人员于 4 月发表的一篇论文发现，GPT-4 可以编写复杂的恶意脚本，以 87% 的成功率查找 Mitre Corp. 的常见漏洞和暴露列表中的漏洞。使用 GPT-3.5 进行的类似实验的成功率为 0%。该论文称，GPT-4 在探测弱点时能够一次执行多达 50 个步骤。

这引发了人们对人工智能代理大军不断攻击防火墙寻找漏洞的担忧。“GPT-4 现在可以有效地成为黑客的自动渗透测试器，”McGinley-Stempel 说。“你可以很容易地开始看到代理操作被串联在一起，一个代理识别漏洞，另一个代理专注于利用漏洞。”

防守队员实力悬殊

他说，这种持续的渗透测试超出了大多数网络安全组织的能力范围。“许多组织可能每年都会进行一次渗透测试，但一年内应用程序或网站中的很多东西都会发生变化，”他说。“公司内部的传统网络安全组织并不是为持续的自我渗透测试而建立的。”

Stytch 正在尝试改进 McGinley-Stempel 所说的流行身份验证方案的弱点，例如全自动公共图灵测试（用于区分计算机和人类），或 captcha，这是一种用于确定与系统交互的用户是人类还是机器人的质询-响应测试。Captcha 代码可能要求用户解读乱码字母或计算图像中的交通信号灯数量。

Stytch 的技术为每位访客创建了独一无二的持久指纹。该公司声称，其软件可以 99.99% 的准确率检测出自动访客，例如机器人和无头浏览器，而无需用户交互。无头浏览器是一种没有图形用户界面的浏览器，主要用于加速测试等自动化任务，但也可用于混淆身份验证系统，使其无法判断访客是人类还是机器。

Stytch 最近在客户网站上检测到的无头浏览器自动化流量百分比有所增加，这表明恶意行为者已经在使用生成式人工智能来自动发起攻击。McGinley-Stempel 表示，自 GPT-4 发布以来，来自无头浏览器的网站流量几乎增加了两倍，从 3% 增加到 8%。

他说，人工智能将进一步削弱验证码的价值。生成式人工智能视觉和无头浏览器的结合可以挫败要求访问者识别物体和图像的方案，这是一种常见的用例。即使是复杂的自动化检测技术也可以被 Acaptcha Development LP 的Anti-Captcha等服务挫败，该服务将验证码解决方案外包给人类工作人员。

他说：“让某人面对验证码会增加攻击的成本，但这不一定是真正的测试。”