正在閱讀:

告別暴力破解,AI成黑客“新玩具”

掃一掃下載界面新聞APP

告別暴力破解,AI成黑客“新玩具”

AI演繹“功守道”。

鋅刻度 ·

文|鋅刻度 陳鄧新

編輯|高智

AI,是一柄雙刃劍。

既可以成為安全工程師的好幫手,用來尋找潛在的安全威脅以及修復(fù)漏洞,也可以成為黑客的利器,用來發(fā)動大規(guī)模的網(wǎng)絡(luò)攻擊。

這并非杞人憂天。

前不久,網(wǎng)絡(luò)安全公司Home Security Heroes 發(fā)布了一份報告,稱使用了一款名為 PassGAN的新型AI工具,51%的常規(guī)密碼可以在不到1分鐘時間內(nèi)完成破解。

密碼破解早已有之,AI下場有何不同?密碼破解難度下降,普通人該不該慌?AI時代,“功守道”該如何演繹?

常規(guī)密碼,一分鐘破解

眼下,黑客對AI的興趣愈發(fā)濃烈。

之前,一個名為《ChatGPT–Benefits of Malware》的帖子在黑客圈廣為流傳,帖子中展示了一個Java片段,可以用來下載盜號木馬、勒索病毒、流氓軟件等惡意程序。

甚至,一個從未涉足腳本的知名黑客USDoD,在好奇心驅(qū)使之下借助 ChatGPT生成了人生第一個可以執(zhí)行加解密功能的Python腳本,該腳本稍加改造就可以變成勒索病毒。

不過,上述攻擊都是模擬的,實際場景更為復(fù)雜,真正落地還有很長一段路要走。

盡管如此,外界認(rèn)為黑客利用AI作惡,只是時間問題。

這次,白帽黑客使用了帶AI的PassGAN工具測試了超過 1568萬個密碼,在不到1分鐘時間內(nèi)成功破解了51%的密碼;1個小時破解了65%的密碼;1天破解了71% 的密碼;1個月破解了81% 的密碼。

圖源:網(wǎng)絡(luò)安全公司Home Security Heroes

一名匿名黑客告訴鋅刻度:“PassGAN之類的AI工具,拉低了密碼破解的門檻,相關(guān)的攻擊或更泛濫。”

上述匿名黑客進(jìn)一步表示,普通的密碼破解工具,是按照一定的順序去碰撞(嘗試),通俗易懂地說就是暴力破解,引入AI能力之后,分析已知的泄露密碼庫,歸納密碼出現(xiàn)的頻率,并率先使用高頻密碼進(jìn)行碰撞,碰撞不成功再啟用窮舉法暴力破解,這考驗的是密碼的復(fù)雜程度,以字母大小寫疊加數(shù)字的12位非常規(guī)密碼為例,PassGAN破解需要2000年。

魔高一尺,道高一丈

盡管如此,普通人不用慌。

一名安全工程師告訴鋅刻度:“最安全的密碼就是記不住的密碼,但記不住的密碼則會帶來另外的麻煩,因而實際生活中,短信驗證碼、人臉識別、第三方賬號登錄等成為主流?!?/p>

一言以蔽之,密碼破解的路越走越窄。

但并不能以此放棄警惕之心,畢竟AI對黑客的助力,并不僅僅局限于密碼破解,深度偽造、人工智能投毒、人工智能模糊測試等都是研究的方向。

上海市人工智能行業(yè)協(xié)會秘書長鐘俊浩表示:“比起失控的技術(shù),更有可能失控的是用技術(shù)來為非作歹的‘人’。比如,惡意使用者可能會利用ChatGPT來制造虛假信息、實施欺詐活動或進(jìn)行其他不道德行為。防止人工智能作惡,關(guān)鍵在于控制背后的人。”

魔高一尺,道高一丈

好在,防御一方也在擁抱AI。

微軟的AI助手工具Copilots使用了Open AI新的GPT-4語言系統(tǒng)和安全領(lǐng)域特定的數(shù)據(jù),可以幫助安全人員更快地發(fā)現(xiàn)黑客的攻擊,且這一工具可以同時處理1000個警報,并在幾秒鐘內(nèi)提供安全報告。

也就是說,以前靠人工檢測何況攻擊,現(xiàn)在依賴AI就可以達(dá)到目的,用魔法打敗魔法,效率還更高。

事實上,GPT-4上線之初也進(jìn)行了風(fēng)險測試。

據(jù)外媒報道, Open AI于2022年聘請了50名專家學(xué)者,由學(xué)者、教師、律師、風(fēng)險分析師和信息安全研究員組成,對GPT-4這一新模型進(jìn)行了“定性探索和對抗性測試”,目的是探索并了解在社會上部署先進(jìn)人工智能系統(tǒng)會造成什么樣的風(fēng)險。?

簡而言之,AI也成為對抗黑客的利器。

譬如,DefPloreX 是一個機器學(xué)習(xí)工具包,使用數(shù)據(jù)可視化技術(shù)將非結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)化成有意義的描述,旨在檢測互聯(lián)網(wǎng)上的大規(guī)模電子犯罪。

再譬如,Intercept X是一個網(wǎng)絡(luò)安全工具,利用深度學(xué)習(xí)功能變被動防御為預(yù)測防御,可防止已知威脅和從未見過的威脅。

總而言之,黑客進(jìn)入AI時代,試圖借助新技術(shù)再上一個臺階,這對安全圈而言是一個不容忽視的挑戰(zhàn),好在也可以提高防御的水平。

那么,魔高一尺,道高一丈。

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請聯(lián)系原著作權(quán)人。

評論

暫無評論哦,快來評價一下吧!

下載界面新聞

微信公眾號

微博

告別暴力破解,AI成黑客“新玩具”

AI演繹“功守道”。

鋅刻度 · 2023/04/28 15:09

文|鋅刻度 陳鄧新

編輯|高智

AI,是一柄雙刃劍。

既可以成為安全工程師的好幫手,用來尋找潛在的安全威脅以及修復(fù)漏洞,也可以成為黑客的利器,用來發(fā)動大規(guī)模的網(wǎng)絡(luò)攻擊。

這并非杞人憂天。

前不久,網(wǎng)絡(luò)安全公司Home Security Heroes 發(fā)布了一份報告,稱使用了一款名為 PassGAN的新型AI工具,51%的常規(guī)密碼可以在不到1分鐘時間內(nèi)完成破解。

密碼破解早已有之,AI下場有何不同?密碼破解難度下降,普通人該不該慌?AI時代,“功守道”該如何演繹?

常規(guī)密碼,一分鐘破解

眼下,黑客對AI的興趣愈發(fā)濃烈。

之前,一個名為《ChatGPT–Benefits of Malware》的帖子在黑客圈廣為流傳,帖子中展示了一個Java片段,可以用來下載盜號木馬、勒索病毒、流氓軟件等惡意程序。

甚至,一個從未涉足腳本的知名黑客USDoD,在好奇心驅(qū)使之下借助 ChatGPT生成了人生第一個可以執(zhí)行加解密功能的Python腳本,該腳本稍加改造就可以變成勒索病毒。

不過,上述攻擊都是模擬的,實際場景更為復(fù)雜,真正落地還有很長一段路要走。

盡管如此,外界認(rèn)為黑客利用AI作惡,只是時間問題。

這次,白帽黑客使用了帶AI的PassGAN工具測試了超過 1568萬個密碼,在不到1分鐘時間內(nèi)成功破解了51%的密碼;1個小時破解了65%的密碼;1天破解了71% 的密碼;1個月破解了81% 的密碼。

圖源:網(wǎng)絡(luò)安全公司Home Security Heroes

一名匿名黑客告訴鋅刻度:“PassGAN之類的AI工具,拉低了密碼破解的門檻,相關(guān)的攻擊或更泛濫?!?/p>

上述匿名黑客進(jìn)一步表示,普通的密碼破解工具,是按照一定的順序去碰撞(嘗試),通俗易懂地說就是暴力破解,引入AI能力之后,分析已知的泄露密碼庫,歸納密碼出現(xiàn)的頻率,并率先使用高頻密碼進(jìn)行碰撞,碰撞不成功再啟用窮舉法暴力破解,這考驗的是密碼的復(fù)雜程度,以字母大小寫疊加數(shù)字的12位非常規(guī)密碼為例,PassGAN破解需要2000年。

魔高一尺,道高一丈

盡管如此,普通人不用慌。

一名安全工程師告訴鋅刻度:“最安全的密碼就是記不住的密碼,但記不住的密碼則會帶來另外的麻煩,因而實際生活中,短信驗證碼、人臉識別、第三方賬號登錄等成為主流?!?/p>

一言以蔽之,密碼破解的路越走越窄。

但并不能以此放棄警惕之心,畢竟AI對黑客的助力,并不僅僅局限于密碼破解,深度偽造、人工智能投毒、人工智能模糊測試等都是研究的方向。

上海市人工智能行業(yè)協(xié)會秘書長鐘俊浩表示:“比起失控的技術(shù),更有可能失控的是用技術(shù)來為非作歹的‘人’。比如,惡意使用者可能會利用ChatGPT來制造虛假信息、實施欺詐活動或進(jìn)行其他不道德行為。防止人工智能作惡,關(guān)鍵在于控制背后的人?!?/p>

魔高一尺,道高一丈

好在,防御一方也在擁抱AI。

微軟的AI助手工具Copilots使用了Open AI新的GPT-4語言系統(tǒng)和安全領(lǐng)域特定的數(shù)據(jù),可以幫助安全人員更快地發(fā)現(xiàn)黑客的攻擊,且這一工具可以同時處理1000個警報,并在幾秒鐘內(nèi)提供安全報告。

也就是說,以前靠人工檢測何況攻擊,現(xiàn)在依賴AI就可以達(dá)到目的,用魔法打敗魔法,效率還更高。

事實上,GPT-4上線之初也進(jìn)行了風(fēng)險測試。

據(jù)外媒報道, Open AI于2022年聘請了50名專家學(xué)者,由學(xué)者、教師、律師、風(fēng)險分析師和信息安全研究員組成,對GPT-4這一新模型進(jìn)行了“定性探索和對抗性測試”,目的是探索并了解在社會上部署先進(jìn)人工智能系統(tǒng)會造成什么樣的風(fēng)險。?

簡而言之,AI也成為對抗黑客的利器。

譬如,DefPloreX 是一個機器學(xué)習(xí)工具包,使用數(shù)據(jù)可視化技術(shù)將非結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)化成有意義的描述,旨在檢測互聯(lián)網(wǎng)上的大規(guī)模電子犯罪。

再譬如,Intercept X是一個網(wǎng)絡(luò)安全工具,利用深度學(xué)習(xí)功能變被動防御為預(yù)測防御,可防止已知威脅和從未見過的威脅。

總而言之,黑客進(jìn)入AI時代,試圖借助新技術(shù)再上一個臺階,這對安全圈而言是一個不容忽視的挑戰(zhàn),好在也可以提高防御的水平。

那么,魔高一尺,道高一丈。

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請聯(lián)系原著作權(quán)人。