盤點 2024 年 AI 造成的新資安威脅,連 LLM 都不能倖免

在 AI 時代中,數據是一切的關鍵基礎—凡舉 AI 模型、客戶服務、產品研發都仰賴數據,數據的保護也成關鍵。從 AI 新經濟角度來看,要做好 AI,首重就是打好資安基底才能專心拼經濟。但,AI 也讓資安防禦變得沒這麼簡單,了解攻擊者如何用新武器攻擊更為重要。

AI 讓攻擊的速度、規模、頻率與複雜性都在增加。當資安人員才剛開始探索 AI 的力量如何幫助強化防禦的同時,駭客也在指數型的進步。尤其是網路犯罪分子開始透過部署新一代生成式 AI 工具,並且結合傳統的攻擊方式,來強化攻擊的成功率,包含從更客製化的釣魚信件到惡意軟體的快速迭代,甚至還有全新的數據破口都是駭客正在著眼的目標。

以下統整幾種 AI 帶來的新資安威脅,讓大家可以更了解真實的網路風險有多嚴峻。

AI 讓本來是雜魚的駭客都攻擊力變強了

英國國家網路安全中心指出,AI 為駭客帶來不成比例的優勢。針對由國家贊助的攻擊團體,AI 提升這群國家級駭客的進階攻擊能力,甚至也可能讓本來就沒什麼技術的雜魚駭客們「顯著提升攻擊威脅」。透過AI,駭客將能夠更快、更有效地分析洩漏的數據,並用它來訓練 AI 模型,從而再獲得更高品質的數據,持續優化這些攻擊模型的有效程度。

AI 也可以幫助駭客更快的識別哪些資料屬於高價值,讓攻擊更精準。更讓人擔憂的事,上述狀況最早在 2025 年極可能會實現。

對於國家級駭客而言,生成式 AI 也讓他們的攻擊範圍變得更大。微軟與 OpenAI 發布報告,針對國家駭客新攻擊手法進行統整,發現俄國、伊朗、中國、北韓已開始利用 AI 進行更有效的偵察敵情、優化攻擊程式的編碼,甚至是更快速統整漏洞的情資研究。與俄國有關的駭客組織也用 AI 大量搜集衛星相關資訊,企圖破解衛星通訊協定以阻隔烏克蘭的對外通訊功能。

新的 AI 蠕蟲攻擊,即使不開信都會中毒

根據《Wired》雜誌報導,康乃爾大學研究人員開發出一款 AI 電腦蠕蟲病毒,即使用戶沒有點開郵件,都會被感染。這款蠕蟲病毒會針對開源大型語言模型所提供電子郵件 AI 助理進行攻擊,並且可以讓這些 AI 助理瞬間變成殭屍助理,由於AI 助理可能掌握用戶的大量資訊,吐出用戶的個人信用卡號、姓名電話等機敏資料也就不是什麼難事。

甚至,被感染的殭屍助理只要寄出郵件給別人,其他的帳號也會被感染。雖然這款蠕蟲目前只是實驗室測試版本,但研究人員認為,在不久的將來極有可能被駭客拿來作為攻擊工具。

AI 社交攻擊威力加乘,駭客說謊不用打草稿

生成式 AI 一本正經胡說八道的技能,也成為駭客新武器。 Verizon 2023 最新資安報告指出,17% 網路漏洞曝險來自於社交工程。生成式 AI 可以模擬更個人化的對話場景,幫駭客寫好整套劇本,網路釣魚的威脅也因此再度提升。

LLM 也會中毒?最新資安威脅,成為棘手漏洞

大型語言模型也在這波 AI 曝險威脅當中,模型中毒(Model poisoning) 成為新的趨勢。駭客可能透過植入後門啟動機制到訓練的參數中來微調模型,進而影響資料生成結果,也有可能讓訓練所使用的機敏資料更容易外洩。這種攻擊對於開源的大型語言模型尤其危險,AI 容易受到數據操縱,若是從開放的網路提取資料,就有可能遭受此種攻擊。

生成式 AI 讓駭客的技能大增,同時各國也面臨到資安大缺才— 2023 年 ISC2 網路安全勞動力研究,亞太地區的資安人才缺口擴大了 23.4% 創新高。要打贏這場不對稱的戰爭,需要組織從策略與技術上同步提升,才能有效提升資安韌性,在 AI 時代持續勝出。

文章出處:https://buzzorange.com/techorange/2024/04/01/ai-cybersecurity-threats-2024/

You may also like...

發佈留言