報告稱“AI 黑客時代已到來”

未來網(wǎng)絡(luò)安全的發(fā)展本質(zhì)上就像一場數(shù)字版的“搖滾小子機器人”比賽，將具有進攻性和防御性的 AI 相互對抗——至少這是 NBC 報道稱該行業(yè)對 AI 的看法。

“在最近幾個月里，各種類型的黑客——包括網(wǎng)絡(luò)犯罪分子、間諜、研究人員和企業(yè)防御者——開始將 AI 工具納入他們的工作，”該報告說?！跋?ChatGPT 這樣的 LLMs 仍然容易出錯。但它們已經(jīng)非常擅長處理語言指令，將普通語言翻譯成計算機代碼，或識別和總結(jié)文件。”

NBC 繼續(xù)講述了谷歌如何利用 AI 發(fā)現(xiàn)漏洞，如何 CrowdStrike 正在“使用 AI 幫助那些認(rèn)為自己被黑的人”，以及一家名為 Xbow 的初創(chuàng)公司開發(fā)了一種 AI，在 6 月份成功“登頂 HackerOne 美國排行榜”。（HackerOne 后來將其排行榜分為單獨的追蹤器，用于個人研究人員和像 Xbow 這樣的“集體”。）

上個月我報道了 CrowdStrike 關(guān)于朝鮮特工正在使用生成式 AI 來創(chuàng)建簡歷、社交媒體賬戶和其他材料，以欺騙西方科技公司雇傭他們，一旦被雇傭，他們會轉(zhuǎn)而使用 AI 工具與同事溝通、編寫代碼，并維持正常的外表，同時領(lǐng)取工資。 正在使用生成式 AI

AI 在這方面（以及用于總結(jié)文檔）的效用已經(jīng)得到了很好的確立。（或者說，至少比它自己進行復(fù)雜的網(wǎng)絡(luò)安全研究的能力要確立得多；它仍然不太擅長提煉事實 。）但似乎為時過早地宣布 AI 黑客時代的到來，尤其是由于它通常被用作一個乘數(shù)而不是一個完全自動化的解決方案。

谷歌安全工程副總裁海瑟爾·阿德金斯告訴 NBC ，她還沒有“看到任何人發(fā)現(xiàn)什么新穎的東西”，而且它“只是做我們已知的事情。”她還表示“將會進步”，但研究人員、公司和獨立組織自 1960 年代以來一直保證人工智能將“遠遠超越其當(dāng)前限制”，所以我們在這里遵循一個長期的時間表。

Xbow 上升到 HackerOne 排行榜的頂端也很有趣，但它也忽略了類似 AI 工具產(chǎn)生的巨大“雜亂”。幾乎每個依賴開源 curl 項目（該項目是幾乎所有聯(lián)網(wǎng)設(shè)備的基礎(chǔ)）的領(lǐng)先開發(fā)者丹尼爾·斯滕伯格都反復(fù)抱怨他浪費在 AI 發(fā)現(xiàn)的“漏洞”上的時間。

到目前為止，2025 年的總體趨勢是比以往任何時候都要多出很多人工智能垃圾（大約占所有提交內(nèi)容的 20%），因為我們平均每周大約提交兩份安全報告，”Stenberg 在一篇關(guān)于這個問題的最新博客文章中說道。（強調(diào)他的話）“在 7 月初，2025 年大約有 5%的提交內(nèi)容被證實是真實漏洞。與往年相比，有效率顯著下降顯著 。”

斯滕伯格最近也對此問題發(fā)表了一次演講，值得一讀他關(guān)于這一現(xiàn)象的 2024 年博客文章 。一個用于超過 20 億設(shè)備的項目的主要開發(fā)者正花費如此多的時間來公開呼吁——更不用說實際處理——這個問題了。還有多少其他開源項目維護者正被類似的問題所淹沒，但卻沒有同樣的關(guān)注度？

人工智能在諸如朝鮮技術(shù)工人計劃等社會工程攻擊中已被證明是有用的，加快了谷歌研究人員發(fā)現(xiàn)漏洞的速度，并找到了操縱 HackerOne 排行榜的方法。NBC 也報道說，俄羅斯黑客已開始在針對烏克蘭的惡意軟件中嵌入人工智能，以“自動搜索受害者的計算機中的敏感文件并發(fā)送給莫斯科。”

但它自己并沒有發(fā)現(xiàn)太多有趣的漏洞，它正用不相關(guān)的報告轟炸開源項目，而且我們不知道如果 AI 被用來為俄羅斯尋找敏感文件是否產(chǎn)生了有價值的情報。（尤其是如果后來被要求總結(jié)被盜文件，并且因為不想讓它的虛擬家人被送往古拉格而編造了一些勁爆的情報。）

這足以宣告 AI 黑客時代的到來，還是僅僅是全球最大科技公司過度支出、風(fēng)險投資領(lǐng)域的投資趨勢以及前兩個群體所宣稱的未來產(chǎn)業(yè)的地緣政治沖突所推動的更廣泛 AI 興趣的另一個副作用？