大数跨境
首页
>
深入黑客的内心:显示黑客采用新技术的速度和效率
>
0
0

深入黑客的内心:显示黑客采用新技术的速度和效率

深入黑客的内心:显示黑客采用新技术的速度和效率 三正科技公司
2023-07-13
1
导读:人工智能的应用仍处于起步阶段,但我们已经看到了一个重大影响:黑客攻击的民主化。

人工智能的应用仍处于起步阶段,但我们已经看到了一个重大影响:黑客攻击的民主化。
Bugcrowd 年度报告《2023 年黑客内心深处》研究了 Bugcrowd 漏洞搜寻者群体所持的态度和使用的方法。今年的报告重点关注黑客对人工智能(AI)的影响和使用。
它还提供了有关恶意黑客如何利用人工智能的宝贵见解。目前,这主要围绕 LLM GPT 的使用,例如 ChatGPT。出现了许多“专业”GPT,但大多数情况下它们都是 GPT4 引擎的包装器。ChatGPT 仍然是黑客的主要工具。
72% 的 Bugcrowd 黑客不相信人工智能会复制他们人类的创造力。尽管如此,64% 的人已经在他们的黑客工作流程中使用人工智能,还有 30% 的人计划在未来这样做。Tanium 首席安全顾问蒂莫西·莫里斯 (Timothy Morris) 表示:“我完全同意大多数人的观点,即 [AI] 不会取代安全研究人员/黑客。” “黑客攻击需要技能(人工智能有这个能力),但也需要来自理解背景的创造力(人工智能没有这个能力)。虽然人工智能多年来可能会变得更好,但我不认为它是替代品。”
然而,正是人类创造力与人工智能工作流程支持的结合正在改变黑客的面貌——虽然这在道德黑客手中是件好事,但在恶意黑客手中却令人担忧。
该报告分析了 Bugcrowd 平台上黑客的大约 1000 份调查回复,报告显示,黑客已经在许多不同领域使用和探索人工智能的潜力。目前最常见的用例是自动化任务(50%)、分析数据(48%)、识别漏洞(36%)、验证结果(35%)、进行侦察(33%)、威胁分类(22%)、检测异常(22%)、风险优先级(22%)和培训模型(17%)。 
为了实现这些目标,黑客一直将人工智能视为他们工具集中的另一个工具。第一个要求是了解该工具,第二个要求是学习如何使用它。对于 ChatGPT,这可以分为两类:了解如何有效地利用其指定目的,以及学习如何在其他地方使其屈服于黑客的意愿。
前者主要用于快速、准确地生成报告和语言翻译。(恶意黑客正在使用相同的功能来进行引人注目的网络钓鱼活动。)
后者是利用提示工程来绕过 ChatGPT 的过滤器,这些过滤器旨在防止恶意或非法使用该工具。即时工程在概念上与社会工程类似——社会工程是说服用户做不应该做的事情的能力,而即时工程是说服人工智能做不应该做的事情的能力。
Ontinue 安全运营副总裁 Craig Jones 评论道:“精英黑客并不将人工智能视为一种威胁,而是一种增强他们能力、为他们提供竞争优势的工具。” “他们的观点证明了黑客和人工智能之间的共生关系,人工智能补充并增强了定义黑客专业知识的创造性解决问题的技能。”
Bugcrowd 的创始人兼首席技术官凯西·埃利斯 (Casey Ellis) 认为,我们应该在黑客历史的背景下看待人工智能的到来。黑客正在利用现有的资源——就像 20 年前 Metasploit 出现时所做的那样。它是为好的目的而设计的,但也被用来做坏事。“Metasploit 对猎人来说是一个福音,”他说,“但他们仍然必须了解如何使用它,并将自己的创造力应用到它的应用中。”
从那时起,黑客还采用了其他工具开发,但人工智能有一个根本区别。“提高黑客效率的技术对于外行来说并不一定那么容易理解,”他继续说道。“但有了 ChatGPT,每个人都在谈论它并使用它。” 人工智能同样适用于“还不是黑客”和非技术人员。
鉴于报告中的另一项发现——加入 Bugcrowd 的黑客越来越年轻,这一点可能变得更加重要。18 岁或以下的黑客数量比去年增加了一倍,其中 62% 年龄在 24 岁或以下。
埃利斯指出,当今年轻人对计算和安全的态度与前几代人不同。今天的年轻人是在科技的陪伴下长大的,而前几代人则必须学习科技。“当我了解黑客行为时,我非常关心技术和互联网的管道,”埃利斯说。“但是,这个 18 岁以下群体对互联网的体验已经被抽象化,以至于他们不一定意识到互联网的存在。他们不一定了解技术,但他们了解界面和业务逻辑,以及如何以我可能永远不会的方式利用系统和应用程序的设计。”
人工智能将能够比探索已编译应用程序中的编码缺陷更容易地探索业务逻辑。总体效果是,人工智能将为每个人提供速度、规模和效率,而不仅仅是传统的技术娴熟的黑客。人工智能为黑客和潜在黑客带来了民主化。
目前,大多数黑客都受到 ChatGPT 的限制,但我们应该意识到情况可能并非总是如此。ChatGPT 根据互联网内容进行训练,并通过提示从接收到的数据中进一步学习。想象一下,由敌对民族国家根据目标应用程序的源代码进行训练的 GPT 的黑客潜力,并且不是向普通公众而是从精英民族国家黑客的使用中学习。
Bugcrowd 的Inside the Mind of the Hacker展示了黑客采用新技术来协助他们进行狩猎和改进报告的速度和效率。目前,这已转化为规模——创造性地发现漏洞,并以指数级更快的速度进行武器化和利用。情况可能会变得更糟。


往期推荐

CISA和NSA分享有关保护 CI/CD 环境安全的指南

深度解读:下一代身份安全和IAM技术趋势

IT安全工具不适用于OT的5个原因

操作系统的最强入门科普(Unix/Linux篇)

到底什么是“5G新通话”?

RSA 2023 和安全身份危机

混合云现代化 SOC 的需求

到底什么样的网络,才能带得动AIGC?

 

我就知道你“在看”

【声明】内容源于网络
0
0
三正科技公司
1234
内容 527
粉丝 0
三正科技公司 1234
总阅读1.2k
粉丝0
内容527