人工智能增强型恶意攻击是 80% 高管最担心的问题,这是有道理的,因为有大量证据表明,不良行为者正在利用这项技术。
Gartner 连续第三个季度发现,利用人工智能发动的网络攻击是企业面临的最大风险。
从 7 月到 9 月,该咨询公司调查了 286 位高级风险和保障管理人员,80% 的人认为人工智能增强型恶意攻击是他们最担心的威胁。这并不奇怪,因为有证据表明人工智能辅助攻击正在上升。
报告中概述的其他普遍提及的新兴风险包括人工智能辅助的错误信息、政治两极分化的升级以及组织人才配置的错位。
攻击者正在利用人工智能编写恶意软件、制作网络钓鱼邮件等
今年 6 月,惠普截获了一个在野外传播恶意软件的电子邮件活动,其中的脚本 “极有可能是在 GenAI 的帮助下编写的”。该 VBScript 结构整齐,每个命令都有注释,这证明人类编写脚本无需费力。
研究人员随后使用 GenAI 制作了一个脚本,并发现了类似的输出,这表明原始恶意软件至少有一部分是人工智能生成的。
安全公司 Vipre 在第二季度检测到的商业电子邮件泄露攻击数量比 2023 年同期增加了 20%,其中五分之二是由人工智能生成的。首要目标是首席执行官,其次是人力资源和 IT 人员。
VIPRE 首席产品和技术官 Usman Choudhary 在新闻稿中说: “歹徒现在正利用复杂的人工智能算法来制作引人入胜的钓鱼邮件,模仿合法通信的语气和风格。”
Imperva Threat Research公司的数据显示,从4月到9月,仅零售网站平均每天就受到569884次人工智能驱动的攻击。研究人员表示,ChatGPT、Claude 和 Gemini 等工具,以及从网站上搜刮乐虎国际手机版下载训练数据的特殊机器人,正被用于实施分布式拒绝服务攻击和业务逻辑滥用等。
根据 BugCrowd 的一份报告,越来越多的道德黑客也承认使用 GenAI,去年这一比例从 64% 上升到 77%。这些研究人员表示,GenAI 可以协助进行模态通道攻击、故障注入攻击以及自动化并行化攻击,从而同时攻破多台设备。但是,如果 “好人 ”发现了人工智能的价值,那么坏人也会发现它的价值。
这些攻击的增加不足为奇
人工智能可以降低网络犯罪的准入门槛,因为技术水平较低的犯罪分子可以利用人工智能生成深度伪造、扫描网络以寻找切入点、进行侦察等。苏黎世联邦理工学院(ETH Zurich)的研究人员最近创建了一个模型,该模型可以100%地解决谷歌reCAPTCHAv2用于区分人类和机器人的谜题。
安全公司 Radware 的分析师在年初预测,这种新发现的可访问性将导致用于邪恶目的的私人 GPT 模型的开发。他们还预测,随着恶意行为者更加熟练地使用 LLM 和生成式对抗网络,零日漏洞利用和深度伪造诈骗的数量将会增加。
事实上,谷歌的Mandiant公司在2023年共追踪到97个被发现和利用的零日漏洞,比一年前增加了56%。上个月,微软将深度伪造列为日益猖獗的勒索软件集团所使用的最重要攻击类型之一。
高管还担心过度依赖 IT 供应商
本季度,IT供应商的关键性也首次进入了Gartner风险与保障高级管理人员最关注的问题名单。
Gartner 风险与审计业务高级研究总监 Zachary Ginsburg 在一份 Gartner 新闻稿中说: “集中使用一家供应商服务的客户可能会在发生故障时面临更高的风险,或者他们可能会根据欧盟、美国或其他地方的新法规或法律决定而面临意料之外的服务变化。”
他提到了 7 月份的 CrowdStrike 事件,该事件导致全球约 850 万台 Windows 设备瘫痪,并对紧急服务、机场、执法机构和其他重要组织造成了巨大的破坏。
Ginsburg 补充说:“由于第三方(如 SaaS 供应商)依赖于其他供应商,企业可能没有意识到他们所面临的全部风险。Gartner 预测,全球将有 45% 的企业遭受过攻击。”