AI將在五年內超過黑客

眾包漏洞賞金平臺Bugcrowd最新發布的“黑客思維”報告調查了來自全球85個國家/地區的1000名（白帽）黑客。結果顯示：55%的受訪黑客認為生成式AI已經能夠超越黑客（21%），或者至少能在未來五年內超越黑客（34%）。

盡管如此，黑客并不特別擔心被取代，72%的人表示生成式人工智能將無法復制人類黑客的創造力。

近三分之二的受訪者（64%）認為生成式AI技術實際上給道德黑客和安全研究人員帶來的新的價值。

78%的黑客認為生成式AI技術五年內將顛覆現有的滲透測試和漏洞賞金工作。40%的黑客認為生成式AI已經改變了黑客的攻擊方式。

調查顯示，85%的受訪黑客已經嘗試過生成式AI技術，94%的受訪黑客已經（64%）或計劃（30%）在工作流中使用生成式AI工具。

當被問及如何使用生成式人工智能時，黑客提到的首要功能是：

• 自動化任務（50％）
• 分析數據（48％）
• 識別漏洞（36％）
• 驗證發現（35％）
• 進行偵察（33％）

黑客使用最多的生成式AI技術是ChatGPT，其次是谷歌的Bard和微軟的Bhing Chat AI：

黑客使用的生成式AI工具類型非常豐富，其中文本、代碼、搜索、聊天機器人和圖片生成工具占比較高，分布如下：

• 文本（生成、總結）80%
• 代碼（生成）62%
• 搜索（基于AI的智能搜索分析）46%
• 聊天機器人（客服自動化、報告撰寫）44%
• 圖片（生成）38%
• 數據（設計、采集、分析）25%
• 機器學習（機器學習平臺）13%
• 音頻（音頻生成、文本轉語音、音頻總結）10%

報告指出，越來越多的黑客開始借助聊天機器人（Chatbot）來撰寫報告，尤其是對于那些不善于文案或者希望節省時間和精力的人來說。

隨著主流生成式人工智能技術的引入，人的因素將會發生什么變化？Bugcrowd創始人兼首席技術官Casey Ellis表示：“關于生成式人工智能將對安全產生的影響有很多猜測。我相信網絡安全將變得更加難以預測。91%的受訪黑客認為生成式人工智能將提高其效率和能力，這意味著對手的戰術、技術和程序正在以更快的速度發生變化。”

AI的快速發展帶來了哪些新的網絡安全威脅？報告援引世界經濟論壇的研究指出攻擊者使用AI的五種主流方式如下：

• 開發更加復雜精巧、難以檢測的惡意軟件
• 大規模制作個性化釣魚電子郵件
• 生成深度偽造數據（筆跡、語音、圖像和視頻等），用于身份竊取、金融欺詐和謠言散播等活動
• 破解驗證碼或猜測密碼
• 攻擊人工智能威脅檢測系統，用大量假陽性警報掩護真正的攻擊活動

該報告的其它調查結果摘要如下：

一、大多數黑客（82%）并不是全職黑客。多數受訪者將其視為兼職工作、副業，只有29%的人將黑客視為他們的全職職業。

二、93%的黑客會流利使用至少兩種語言。

三、隨著越來越多的企業實施遠程辦公，77%的道德黑客收入增加。

四、道德黑客實施攻擊的動機多種多樣，最主要的動機包括：

• 個人發展（28%）
• 經濟收益（24%）
• 興趣（14%）
• 挑戰（12%）

值得注意的是，87%的受訪者表示報告漏洞比從中賺錢更重要。

五、黑客參與（滲透測試或者漏洞賞金）項目的主要動力包括：

• 快速響應的（甲方團隊）62%
• 新技術52%
• 及時付費50%
• 領域范圍50%
• 高價值漏洞44%
• 熟悉的技術44%