馬斯克能刺激Twitter網絡安全創新嗎？

馬斯克宣稱要“對所有人進行身份驗證”并打贏Twitter垃圾郵件爬蟲反擊戰，此舉或可刺激網絡安全技術創新，催生更多圍繞身份、多因素身份驗證和僵尸網絡檢測的新型安全產品。 

馬斯克突然收購Twitter的舉動在某些方面引燃了樂觀情緒，其“驗證所有人”和擊敗垃圾郵件爬蟲的使命或許會刺激Twitter這家歷來深陷網絡安全泥潭的公司投入技術創新。

4月25日達成440億美元Twitter收購交易后，馬斯克公開宣稱這是為了在管理著世界數字市鎮廣場的公司嘗試保護言論自由，但行業觀察家更重視馬斯克在安全技術創新方面的遠大目標。

馬斯克對自己的目的毫不掩飾：“我還想通過開發新功能增強產品、開源算法增加信任、挫敗垃圾郵件爬蟲，以及對所有人進行身份驗證，從而使Twitter變得比以往任何時候都好。”

Twitter的工程工作集中在一系列古怪的功能上（例如NFT個人資料圖片、2.99美元的Twitter Blue訂閱和針對內容創作者的Super Follows功能），導致爬蟲驅動的虛假信息活動管理不力、直接消息無法加密，還難以讓用戶采用多因素身份驗證保護。

更糟糕的是，這家公司連安全領導層都混亂不堪，安全策略毫無延續性，甚至在民族國家對手采用計算機生成的虛假信息擾亂Twitter龐大用戶群的時候都還在頻繁換血CISO。

Twitter高舉打擊俄羅斯和伊朗黑客國家隊虛假信息散布活動的大旗，但事實證明，在對付使用該社交媒體平臺干擾各國選舉的高級持續性威脅（APT）組織方面，要精準掌控響應范圍還是很難的。

4月26日，一位著名CISO在接受安全媒體SecurityWeek采訪時稱：“即使你不喜歡這個家伙，你也不得不支持Twitter來對抗爬蟲。我覺得我們都會從Twitter創建的安全功能上獲益。”

ExtraHop高級技術經理Jamie Moles表示，馬斯克這個爬蟲清除任務可能會給整個行業帶來附帶利益。“盡管這個任務看起來像是永無休止，但如果他成功了，Twitter用來清除爬蟲的方法可能會催生新的技術，可以改善垃圾郵件、垃圾帖子和其他惡意入侵嘗試的檢測和識別。”

如果馬斯克和他的團隊能夠訓練人工智能，使其能夠更有效地應對爬蟲問題，那世界各地的安全從業者都能受益。

因與Twitter有安全相關業務往來而要求匿名的一位CISO表示：“我預計身份會是有所發展的一個領域。不僅僅是更好地檢測爬蟲和垃圾郵件，Twitter在人機識別方面也會做得更好。這個領域有很多事情亟待改善。”

行業觀察人士還希望看到Twitter提升其龐大用戶群的多因素身份驗證（MFA）采用率。Twitter今年1月發布的透明度報告顯示，活躍Twitter賬戶中只有2.3%啟用了至少一種雙因素身份驗證方法。而就在這區區2.3%啟用了密碼驗證功能的用戶中，還有80%用的是基于短信的弱身份驗證。眾所周知，這種身份驗證方式非常容易遭到網絡釣魚和SIM劫持攻擊。

Twitter已公開承認這是整個行業的重大問題，指出MFA采用率不高是“整個行業令人遺憾的挑戰”。但該公司在向非技術最終用戶推廣此類工具方面做得很差。

安全專家也在呼吁重視Twitter直接消息（DM）端到端加密缺失的問題，DM端到端加密是個有助于緩解竊聽和內部人攻擊的亟需功能。這是Twitter又一有待創新的領域，可為這家社交媒體平臺贏得隱私權倡導者的信任。長期以來，隱私權倡導者一直認為公共平臺上的私人通信應該遠離窺探。

如果Twitter能夠建立起可靠的安全平臺，采用新的方法辨別流量是源自人類還是爬蟲，并采用新型MFA和加密方式，那整個行業和全球用戶都可能會受益良多。