政府、企業,甚至個人電腦均陷入AI黑客對抗戰。
人工智能(AI)近年在各行各業的應用可謂無孔不入,它更成為黑客手上的利劍,令政府、企業,甚至個人電腦均陷入AI黑客對抗戰。網絡保安業界發現,利用AI整合網上資料,從而度身定造的釣魚電郵今年上半年增加兩成半,企業電郵稍有不慎,隨時中招。黑客在AI協助下可全天候測試系統漏洞,並識別保安專家設下的「陷阱」。專家更擔心,隨着AI黑客工具愈趨成熟,保安專家在「人機大戰」中難保勝算。
「釣魚式攻擊」是近年黑客的常用伎倆,黑客將大量發出含有惡意軟件的電郵,一旦收件者不虞有詐,打開內文的附件,或通過超連結登入不明網站,將引致個人資料外泄,甚至是電腦被安裝勒索軟件,須繳付「贖金」才可解鎖。然而,隨着AI的發展,我們在社交網站的帖文及留言,配合在網上的公開資料,足以成為黑客的有用數據,度身定造編寫騙局。
黑客在AI協助下可全天候測試系統漏洞,並識別保安專家設下的「陷阱」。設計圖片
資訊科技保安公司趨勢科技香港及澳門區顧問總監李浩然留意到,配合AI的釣魚式攻擊最近愈見成熟,在今年上半年相關的詐騙電郵增加兩成半。他解釋,過去釣魚電郵的製作方式單一且缺乏針對性,容易被人識破,但在AI的協助下,系統會從海量的電郵地址中,搜尋相關的社交媒體帳戶,分析其用字方式、個人嗜好,甚至是公司的人際網絡,從而製作出既人性化又生活化的電郵,「只要收件者戒心愈低,釣魚電郵的成功率就愈高。」
李浩然認為,只要黑客令AI掌握度身定造釣魚電郵的方法,系統將有能力24小時搜尋公開資料最詳盡的用家進行攻擊,增加入侵成功率,其中以涉及金錢交易的商業電郵地址風險最高,「AI找到你的工作聯繫人之後,可以假扮成你公司長期生意接洽人,聲稱銀行帳戶有變,要求將資金轉帳至另一個戶口,整個文字內容可以裝扮到與當事人幾乎一模一樣。」
除了製作釣魚電郵,AI亦加快黑客搜索網頁及系統漏洞的速度,增加攻擊效率。華爾基利信息安全研究組織電腦安全研究員賴灼東表示,AI省卻黑客以人手進行攻擊的時間,「只要根據攻擊結果,改變AI運作方式,經過不斷的嘗試,就可以找到入侵點。」資訊保安公司Nexusguard Consulting行政總裁龐博文亦留意到,現時大部分準確性攻擊均屬自動化,以AI進行的攻擊愈趨頻繁,佔近兩成半。
保安專家過去慣常為系統設立偽裝成有利用價值的網絡、資料或電腦系統,實為偵測黑客攻擊的「蜜罐」(honeypot),不過,互聯網協會網絡保安及私隱工作組召集人楊和生亦知悉,已有黑客利用AI協助分析潛在「蜜罐」,免墮「假漏洞」陷阱,防止被「反入侵」或「反監控」。
英國劍橋大學生存風險研究中心去年2月發表的《人工智能的惡意使用》報告更進一步指出,黑客將來可同時操控多個AI入侵工具,增加攻擊規模。此外,缺乏IT知識的普通人日後亦可輕易取得AI入侵工具,進行自動化的網絡攻擊,所有人未來難免要面對AI黑客的挑戰,呼籲政府及科研業界聯手面對挑戰。
黑客使用AI愈見普及,網絡保安業界同樣以AI還擊。龐博文指出,AI的搜索速度無人能及,除了可快速從大範圍中找出技術漏洞,亦能快速作出對比,進行滲透測試,「即使有很多位頂尖的保安專家同時工作,都不可能如AI那麼快找出漏洞。」龐博文以信用卡付款為例,由於交易過程中涉及不同媒介及程序,只要有一個國家或地區欠缺基本的漏洞掃描,便令AI黑客有機可乘,「他們利用AI快速找出漏洞,盜取大量信用卡資料後,再放上暗網出售。」
針對釣魚電郵,李浩然以其公司提供的解決方案為例,系統通過收集與企業緊密聯繫的客戶電郵,分析用家撰寫商業電郵的習慣,包括字句長短、標點符號應用及專用術語的使用量等。他相信,由於黑客只能掌握部分資料,其AI的分析結果難以跟擁有完整數據的企業媲美,「以前辨識釣魚電郵的方法,主要靠電郵服務商找出將相同內容的電郵大量寄出的帳戶,新方法只要電郵有涉及轉帳等敏感字眼,系統都會十分審慎。」
然而,有業界認為「道高一尺,魔高一丈」的情況,正好說明網絡保安與黑客利用AI進行網絡攻防戰的現況。賴灼東認為,對於已知的攻擊模式,AI往往能快速回應,但對於較罕見、隱性、具加密功能的攻擊,AI的反應力明顯較弱,「目前我們防守黑客仍要依賴人的經驗,並需要了解最新威脅情報,知道黑客最近增加使用的入侵方式。」
龐博文續說,雖然目前AI的操作不如人腦般靈活變通,仍要按既有模式「出牌」,「但假以時日AI發展更成熟,難保老千計將成狀元才。」龐博文估計,當量子電腦普及化,將更有利同時運算多個系統的AI技術,「屆時電影《未來戰士》被機械人主導世界一幕好可能會發生。」中大工程學院副院長黃錦輝亦以圍棋機械人AlphaGo在一六年擊敗韓國頂尖職業棋士李世為例,如黑客入侵演變成「人機大戰」,他認為人腦長遠難以跟AI比較。
