當然人們享受著生成式AI引爆的效率推進,但其實駭客也得到全新進化。
ChatGPT解放白領工作時間、GitHub Copilot讓工程師找到結對開發(pair programming)的夥伴,微軟Copilot的出現更讓工作變得輕鬆,生成式AI的種種應用,毫無疑問讓人們生活變得更加便利。然而,生成式AI也可能成為駭客手上的利器。
提到生成式AI的崛起,趨勢科技台灣區總經理洪偉淦分析,人工智慧在軟體產業扮演加速器角色,例如讓程式開發速度變得更快,當然在駭客產業鏈中能夠派上用場,「開發惡意程式、生成假訊息、發掘漏洞,都比過去更快速、更有效,詐騙真實度更高。」
趨勢科技核心技術部資深協理張裕敏補充,當地緣政治局勢緊張,結合新興科技發展,都讓科技仰賴程度變得更深。觀察明年資安態勢,「基本上所有的資安風險都可以類推。2023年的風險很多現象,在2024年一樣會發生。」
張裕敏分別從5大面向預測資安問題出現:生成式AI、資料與機器學習、區塊鏈技術、雲端環境以及軟體供應鏈。
駭客工作也用生成式AI提高效率,注意模型被汙染、資料被盜取
2023年的《韋氏辭典》選出的年度關鍵字為真實(authentic),台灣Google年度搜尋榜上ChatGPT也高居第二,人們因此接觸到背後的生成式AI技術,並且在日常生活中應用。對駭客來說,在「工作」中導入生成式AI也是合理選擇,張裕敏舉例,今年7月出現能夠生成交易合約、撰寫具有一定說服力釣魚文字的WormGPT,10月則有文字生成程式碼產出詐騙網站的FraudGPT和WolfGPT等模型。
趨勢科技核心技術部資深協理張裕敏提醒,GPT模型可能被拿來產生釣魚信件、惡意網站的程式碼等。曾子軒攝在生成式AI竄紅之前,最受關注的當屬資料與機器學習領域,對此駭客也有手段。張裕敏表示,不管是汙染模型資料,還是在企業調用大語言模型服務時展開攻擊,近來都曾引發資安問題,「資料下毒將捲土重來,變成2024年對機器語言模型重大的威脅。」張裕敏表示,有惡意人士透過調整提示詞(prompt),從模型端盜取訓練資料,或者以逆向工程複製模型訓練成果,考慮到搜集、標注資料還有訓練模型成本,都會讓企業損失慘重。
區塊鏈也是熱門領域之一,儘管世人對於Web3、元宇宙的關注減少,但區塊鏈應用並沒有停下腳步,企業開始探索私有區塊鏈在公司內部以及商業的應用。張裕敏舉例,11月國泰證券合作本土新創剛推出虛擬通貨業務(STO),將虛擬代幣跟股票畫上等號,讓人心生投資念頭,但有許多平台遇上駭客攻擊的例子,「安全機制還是沒做好,預計2024年更加嚴重。」
上雲資安風險自己顧,軟體供應鏈要做好保護
另外,雲端風險猶在。張裕敏解釋,企業已經不再詢問是否要上雲,幾乎所有人都上雲,雖然雲端廠商和資安防務公司都會提醒上雲的資安風險,但還是有企業認為資料放上雲端,廠商就要為安全負起責任,他提醒要特別注意。駭客累積足夠知識,再加上使用者沒有很了解雲端問題,可能遇到雲端資源被拿來挖礦、自動化隱私機敏資料搜集等狀況。張裕敏也補充,預期明年會有雲端原生蠕蟲出現。
最後一個領域,則是CI/CD系統受到軟體供應鏈攻擊威脅。張裕敏舉例,上個月訊聯科技遭到北韓駭客發動供應鏈攻擊,「單一軟體受攻擊、全供應鏈就會受害。」可能是在GitHub上的開源元件上藏入後門,也可能是花錢購買的應用程式有漏洞,讓駭客順藤摸瓜,從軟體供應鏈打進守得很好的企業內部。
趨勢科技台灣區總經理洪偉淦(右)提醒,不是只有一般能用人AI,駭客當然也可以,因為生成內容品質更加精細可信,平時一定要小心謹慎。曾子軒攝AI引出許多正面期待,例如消費者愛用ChatGPT、AIPC商機正熱,但同時創造出許多風險,「它能幫我們做多少,就能幫駭客做多少,」洪偉淦提醒,一定要做好防護,才不會讓駭客有機可乘。
