AI，是一柄雙刃劍。

既可以成為安全工程師的好幫手，用來(lái)尋找潛在的安全威脅以及修復(fù)漏洞，也可以成為黑客的利器，用來(lái)發(fā)動(dòng)大規(guī)模的網(wǎng)絡(luò)攻擊。

這并非杞人憂天。

前不久，網(wǎng)絡(luò)安全公司Home Security Heroes 發(fā)布了一份報(bào)告，稱使用了一款名為 PassGAN的新型AI工具，51%的常規(guī)密碼可以在不到1分鐘時(shí)間內(nèi)完成破解。

密碼破解早已有之，AI下場(chǎng)有何不同？密碼破解難度下降，普通人該不該慌？AI時(shí)代，“功守道”該如何演繹？

01常規(guī)密碼，一分鐘破解

眼下，黑客對(duì)AI的興趣愈發(fā)濃烈。

之前，一個(gè)名為《ChatGPT–Benefits of Malware》的帖子在黑客圈廣為流傳，帖子中展示了一個(gè)Java片段，可以用來(lái)下載盜號(hào)木馬、勒索病毒、流氓軟件等惡意程序。

甚至，一個(gè)從未涉足腳本的知名黑客USDoD，在好奇心驅(qū)使之下借助 ChatGPT生成了人生*個(gè)可以執(zhí)行加解密功能的Python腳本，該腳本稍加改造就可以變成勒索病毒。

不過(guò)，上述攻擊都是模擬的，實(shí)際場(chǎng)景更為復(fù)雜，真正落地還有很長(zhǎng)一段路要走。

盡管如此，外界認(rèn)為黑客利用AI作惡，只是時(shí)間問(wèn)題。

這次，白帽黑客使用了帶AI的PassGAN工具測(cè)試了超過(guò) 1568萬(wàn)個(gè)密碼，在不到1分鐘時(shí)間內(nèi)成功破解了51%的密碼；1個(gè)小時(shí)破解了65%的密碼；1天破解了71% 的密碼；1個(gè)月破解了81% 的密碼。

一名匿名黑客告訴鋅刻度：“PassGAN之類(lèi)的AI工具，拉低了密碼破解的門(mén)檻，相關(guān)的攻擊或更泛濫?！?/p>

上述匿名黑客進(jìn)一步表示，普通的密碼破解工具，是按照一定的順序去碰撞(嘗試)，通俗易懂地說(shuō)就是暴力破解，引入AI能力之后，分析已知的泄露密碼庫(kù)，歸納密碼出現(xiàn)的頻率，并率先使用高頻密碼進(jìn)行碰撞，碰撞不成功再啟用窮舉法暴力破解，這考驗(yàn)的是密碼的復(fù)雜程度，以字母大小寫(xiě)疊加數(shù)字的12位非常規(guī)密碼為例，PassGAN破解需要2000年。

02 魔高一尺，道高一丈

盡管如此，普通人不用慌。

一名安全工程師告訴鋅刻度：“最安全的密碼就是記不住的密碼，但記不住的密碼則會(huì)帶來(lái)另外的麻煩，因而實(shí)際生活中，短信驗(yàn)證碼、人臉識(shí)別、第三方賬號(hào)登錄等成為主流?！?/p>

一言以蔽之，密碼破解的路越走越窄。

但并不能以此放棄警惕之心，畢竟AI對(duì)黑客的助力，并不僅僅局限于密碼破解，深度偽造、人工智能投毒、人工智能模糊測(cè)試等都是研究的方向。

上海市人工智能行業(yè)協(xié)會(huì)秘書(shū)長(zhǎng)鐘俊浩表示：“比起失控的技術(shù)，更有可能失控的是用技術(shù)來(lái)為非作歹的‘人’。比如，惡意使用者可能會(huì)利用ChatGPT來(lái)制造虛假信息、實(shí)施欺詐活動(dòng)或進(jìn)行其他不道德行為。防止人工智能作惡，關(guān)鍵在于控制背后的人?！?/p>

好在，防御一方也在擁抱AI。

微軟的AI助手工具Copilots使用了Open AI新的GPT-4語(yǔ)言系統(tǒng)和安全領(lǐng)域特定的數(shù)據(jù)，可以幫助安全人員更快地發(fā)現(xiàn)黑客的攻擊，且這一工具可以同時(shí)處理1000個(gè)警報(bào)，并在幾秒鐘內(nèi)提供安全報(bào)告。

也就是說(shuō)，以前靠人工檢測(cè)何況攻擊，現(xiàn)在依賴AI就可以達(dá)到目的，用魔法打敗魔法，效率還更高。

事實(shí)上，GPT-4上線之初也進(jìn)行了風(fēng)險(xiǎn)測(cè)試。

據(jù)外媒報(bào)道， Open AI于2022年聘請(qǐng)了50名專家學(xué)者，由學(xué)者、教師、律師、風(fēng)險(xiǎn)分析師和信息安全研究員組成，對(duì)GPT-4這一新模型進(jìn)行了“定性探索和對(duì)抗性測(cè)試”，目的是探索并了解在社會(huì)上部署先進(jìn)人工智能系統(tǒng)會(huì)造成什么樣的風(fēng)險(xiǎn)。

簡(jiǎn)而言之，AI也成為對(duì)抗黑客的利器。

譬如，DefPloreX 是一個(gè)機(jī)器學(xué)習(xí)工具包，使用數(shù)據(jù)可視化技術(shù)將非結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)化成有意義的描述，旨在檢測(cè)互聯(lián)網(wǎng)上的大規(guī)模電子犯罪。

再譬如，Intercept X是一個(gè)網(wǎng)絡(luò)安全工具，利用深度學(xué)習(xí)功能變被動(dòng)防御為預(yù)測(cè)防御，可防止已知威脅和從未見(jiàn)過(guò)的威脅。

總而言之，黑客進(jìn)入AI時(shí)代，試圖借助新技術(shù)再上一個(gè)臺(tái)階，這對(duì)安全圈而言是一個(gè)不容忽視的挑戰(zhàn)，好在也可以提高防御的水平。

那么，魔高一尺，道高一丈。