卡巴斯基强调了网络罪犯对人工智能的潜在攻击性应用,以及开发主动网络安全防御的必要性。
高级人工智能系统在公共领域的快速普及,导致个人和企业广泛使用这些系统。 这些系统对各种任务的适应性极强,包括通过自然语言提示生成内容和创建代码。但是,这种易用性也为威胁行为者利用AI进行复杂攻击打开了大门。对手可以利用AI来自动化攻击、加速常规操作,并执行更复杂的操作以达到他们的目的。
人工智能作为一种强大的工具
我们观察到网络罪犯使用人工智能(AI)的多种方式:
1. ChatGPT 可用于编写恶意软件和自动攻击多个用户。
2. 人工智能(AI)程序可以通过分析加速度传感器数据来记录用户的智能手机输入,有可能捕捉到信息、密码和银行验证码。
3. 群体智能可以运行自主的僵尸网络,这些僵尸网络相互通信,以便在遭到破坏后恢复恶意网络。
卡巴斯基最近又进行了一项关于使用人工智能破解密码的综合研究。大多数密码都是使用MD5和SHA等加密哈希函数进行加密存储的。虽然将文本密码转换为加密行很简单,但逆向过程却很困难。不幸的是,密码数据库泄露事件时有发生,无论小公司还是科技巨头都受到影响。
2024年7月,迄今为规模最大的密码泄露合集被发布在网上,其中包含约100亿行数据,有82亿个独特的密码。
卡巴斯基首席数据专家Alexey Antonov表示:“我们分析了这一海量数据泄露事件,发现32%的用户密码强度不够,使用简单的暴力破解算法和现代GPU 4090显卡就能在60分钟内还原出加密哈希形式的密码。”他补充说:“我们还基于密码数据库训练了一个语言模型,并尝试使用获得的AI方法来检查密码。我们发现,78%的密码可以通过这种方式破解,这比使用暴力破解算法快大约三倍。只有7%的密码足够强大,能够抵御长期攻击。”
使用人工智能的社交工程攻击
人工智能还可以用于社会工程学,生成看似合理的内容,包括文本、图像、音频和视频。威胁行为者可以使用大型语言模型,如ChatGPT-4o,来生成诈骗文本,例如复杂的钓鱼信息。人工智能生成的钓鱼信息可以跨越语言障碍,并根据用户的社交媒体信息创建个性化的电子邮件。它甚至可以模仿特定个人的写作风格,使网络钓鱼攻击更难被察觉。
深度伪造是另一个网络安全挑战。这曾经只是科学研究的内容,现在已成为一个普遍的问题。犯罪分子通过假冒名人欺骗了许多人,导致了重大经济损失。深度伪造还被用来窃取用户账户,向受害者亲友发送音频,伪造账户所有者的声音请求汇款。
在复杂的约会诈骗中,犯罪分子会在约会网站上创建虚假身份并与受害者进行交流。今年2月,香港发生了一起精心策划的攻击事件,骗子利用深度伪造的视频电话会议,冒充公司高管,说服一名财务人员转账约 2500 万美元。
人工智能的漏洞
除了将人工智能(AI)用于有害的目的之外,不法分子还可以直接攻击人工智能算法本身。这些攻击包括:
1. 对大型语言模型的提示进行注入攻击,攻击者会创建绕过先前提示限制的请求。
2. 机器学习算法的对抗性攻击,其中图像或音频中的隐藏信息会混淆 AI 并迫使其做出错误的决策。
随着人工智能通过 Apple Intelligence、Google Gemini 和 Microsoft Copilot 等产品越来越多地融入我们的生活,解决人工智能漏洞变得至关重要。
卡巴斯基对人工智能(AI)的应用
卡巴斯基多年来一直在使用人工智能技术来保护客户。我们采用各种AI模型来检测威胁,并持续研究AI漏洞,以提高我们技术的抵抗力。我们还积极研究不同的有害技术,提供对攻击性人工智能的可靠保护。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球220,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.