前言

今年以來,隨著Chatgpt的大火,AI開始進入普通人的世界,隨著一段時間的爆火,一場“AI革命”開始悄然演變,你以為的熱度下降,可能只是“技術生命周期的”規律演變,作為安全從業者,你是否思考過AI與安全將是怎樣的一種關系?

一、搞安全的不學漏洞,跑來學AI,是跨界操作嗎?

隨著科技的快速發展,人工智能(AI)已經成為當下的熱門領域。許多安全領域的從業者也開始關注 AI,甚至學習 AI 技術。有人可能會認為,搞安全的學習 AI 是一種跨界操作。然而,我要告訴你,搞安全的學習 AI 并不是跨界,而是一種順應時代發展的必然趨勢。

首先,我們要明確網絡和數據安全的本質是什么?安全是利用一切手段達到的一種狀態,AI 也可能是其中的一個解。在道哥(曾任阿里云首席安全科學家,《白帽子講 Web 安全》作者)的采訪中,他提到了安全是一個對抗的過程,本質來講它就是尋找這件事情的解決方案。也就是說,在安全領域,我們需要不斷地調整和優化策略,從各維度探索問題的綜合解決方案,以應對不斷變化的威脅。而 AI 作為一種強大的工具,海量的知識儲備本身就可以幫助我們更好地實現這種綜合治理的目標。

二、安全是一個對抗的過程,時刻擁抱變化才能更好的在對抗中穩住求勝

既然安全是一個對抗的過程,那時刻擁抱變化才能更好的在對抗中穩住求勝。安全的本質是對抗,這是一場沒有硝煙的戰爭。在這個過程中,安全從業者總是需要不斷學習新的知識,掌握新的技能,以應對不斷出現的新威脅。

當下 AI 發展迅猛,AI 安全的可能性非常多,比如利用 AI 技術進行威脅情報分析、異常檢測、漏洞發現、代碼安全審查等。還記得在面試安全工程師時,一般1-2年經驗的師傅們每每被問到職業規劃或者比較感興趣的安全方向時,總是會回答“代碼審計”,各種語言的代碼審計,確實,代碼審計是有助于對于安全漏洞、系統安全的理解,這是無可厚非的,但若是希望將“代碼審計”作為一種高階技能傍身,那可能并不是一種很好的選擇,你確定你能比AI懂的語言類型更多,比AI記錄的漏洞代碼更全嗎?再回到效率,一目十行可能也趕不上機器的讀取速度。

當前AI在專業模型上已經有不少的安全應用落地場景,例如:防火墻、流量分析、人機對抗(人機驗證/過人機驗證)、代碼泄露檢測等等,另外也有一些具備強大工程能力的大佬也開始著手打造自己的AI安全工具,其中大體的方向主要為:

1、讓AI學會使用大量的安全工具/服務,通過自然語言讓其協助你完成瑣碎的工作,作為你的助手。比如通過AI智能助手調用已有的安全工具進行進行信息收集、通用漏洞測試、DNSlog測試等等。

2、改造現有的安全產品,增加自然語言操作入口,通過對話驅動AI操作產品實現想要的動作,降低專業產品的使用門檻。比如一些較為復雜的紅隊工具如CobaltStrike、MSF等,通過自然語言操作,再也不要記憶和敲打各類復雜的命令。

因此,了解AI和學習 AI 技術對于安全從業者來說同樣是非常有必要的。

三、作為一個安全人,如何不被 AI 浪潮所淹沒呢?

首先,我們需要保持學習,積極思考。在這個信息爆炸的時代,學習已經成為了一種生活方式。我們需要不斷地學習新的知識,提高自己的技能,以應對不斷變化的威脅。在大模型時代下,對任何類別知識的學習門檻也更低了,比如對于學習本身這件事,我們可以讓AI教我們如何用費曼學習法去學習安全知識。(費曼學習法是一種學習和概念理解的方法,它由物理學家理查德·費曼提出。該方法要求將復雜的概念或主題簡化,并用自己的話語解釋給別人聽,以確保自己真正理解了所學內容。通過嘗試教授他人,人們能夠發現他們在理解上的不足之處,并深入思考和學習。費曼學習法強調對知識進行歸納總結和表達的重要性,以加深理解并發現自身的盲點。)比如大概的Prompt思路如下:

1、提出自己的學習需求,讓AI給出大體思路

提示詞:我現在想學習網絡安全知識,請問如何用費曼學習法來做到這件事情。

2、具體到某個知識點的學習

提示詞:我現在想系統性的把Owasp Top 10 漏洞的原理學習到位,請你結合費曼學習法來幫我制定學習計劃和指導流程

3、開始讓AI參與進來輔導學習

可以針對AI回答的思路,挑一些點,分別具體學習

提示詞:比如如果想深入學習SQL注入漏洞,可以對AI說,您作為網絡安全專家,請繼續給我詳細說明一下SQL注入的漏洞的原理、常見測試方法、修復方式,重點講解一些預編譯的修復原理。

4、教授他人

費曼學習法的一個重點是通過教授他人來掌握新知識,這里可以讓AI給出一些建議和指導。

提示詞:請你作為一名網絡安全專家,指導我一下應該如何模擬向別人教授SQL注入漏洞。用簡單的語言和實際例子解釋漏洞的原理、測試方法和修復方式。

具體效果可自行嘗試,看看AI會給你怎樣的回答~

同時,我們也需要積極思考,AI的攻與防,“邪惡GPT”的崢嶸初現,我們又該如何將 AI 技術應用到安全領域,提高安全的防護能力?

另外,加入一家 AI 公司也可能是一種不被 AI 浪潮所淹沒的解決方法。這樣可以讓我們更深入地了解 和接觸到AI 技術,同時也有機會將 AI 技術應用到安全領域。此外,加入 AI 公司還可以讓我們接觸到更多的 AI 專家,與他們一起學習和交流,提高自己的 AI 技能,即使沒有機會向他們學習,耳濡目染間,也可能先人一步了解AI的發展和動向。

四、小結

所以說,搞安全的學習 AI 并不是跨界,而是一種順應時代發展的必然趨勢。只有不斷地學習,積極思考,才能在這個時代立足。最后拋一個暢想,AI時代的攻與防,是否會演變為AI與AI之間的對抗?屆時,安全從業者又將扮演什么樣的角色呢?

參考鏈接:

  1. https://paper.seebug.org/2085/
  2. https://www.sohu.com/a/722069367_355140
  3. https://mp.weixin.qq.com/s/6mhNTEJCO6XyNJXxyoRdVg
代碼審計 網絡安全 人工智能
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接