AI如何影响网络安全:我们在CFTC会议上的发言
Dan Guido
2023年7月31日
机器学习, 政策
作为Trail of Bits的首席执行官,我在7月18日商品期货交易委员会(CFTC)技术咨询委员会(TAC)第二次会议上,重点阐述了AI对金融领域网络安全的影响。会议期间,我明确指出:AI有潜力从根本上改变网络攻防之间的平衡,我们需要建立以安全为核心的基准测试和分类体系,以准确评估AI的能力和风险。
攻防平衡的重构
具备强大能力的AI模型的广泛可用性,为攻击者提供了新的机会,防御者必须对此做好应对准备。AI将使某些攻击变得异常简单,从而打破攻防之间的平衡。面对这一新现实,我们必须重新评估我们的防御策略。
超越两极分化的认知
许多人认为AI要么是神奇的,要么是无用的,但真相介于这两个极端之间。AI增强了人类能力,但并不能完全取代人类的判断和专业知识。关键问题是:中等水平的从业者能否在AI的帮助下达到专家水平?我们的经验表明答案是肯定的。
AI的实际能力与局限
AI模型能够完成许多有益的任务:将代码反编译为高级语言、识别并触发漏洞、编写利用脚本发动攻击。但要有效利用AI,我们必须提出正确的问题(例如需要领域知识和提示工程技术),并准确评估进展(AI是否优于最先进的技术?)。
同时,选择合适的应用场景至关重要。AI更适合需要广博知识且允许犯错的场景(例如文档生成、钓鱼邮件编写),而不太擅长需要精通和绝对正确性的任务(例如发现并利用iOS零日漏洞)。
首当其冲的领域
随着AI在短期内给攻击者带来更大优势,漏洞赏金、钓鱼防御、防病毒软件、入侵检测系统(IDS)和攻击归因等领域将首先受到影响。例如,AI可以大规模生产针对每个目标的定制化钓鱼信息,使用目标母语且毫无错误。
我们不能仅仅通过监管来解决这些问题。模型对齐和限制模型可用性的尝试都不会奏效,因为功能强大的开源模型已经出现。
急需的系统化评估
当前迫切需要的是以网络安全(而非编程)为重点,对这些模型能力进行系统化测量。我们需要能够比较AI与现有最先进工具及人类专家能力的基准测试,以及将技术进步映射到机会和风险的分类体系。
完整会议视频可在此处观看:[视频链接]
未来的工作方向
我很荣幸被任命为网络安全小组委员会的联合主席。我期待与委员会继续合作,深入研究AI的风险与机遇、供应链安全以及金融行业的认证技术。
阅读我们之前关于CFTC TAC第一次会议(重点关注区块链风险)的报道。关于我们在AI赋能网络安全方面的工作,请查看以下链接:
分享本文: Twitter | LinkedIn | GitHub | Mastodon | Hacker News
页面内容
近期文章:
- 使用Deptective调查您的依赖项
- 做好准备,AIxCC评分轮正在进行中!
- 使智能合约超越私钥风险
- Go解析器中意想不到的安全隐患
- 我们审查首批DKLs23库的发现
- Silence Laboratories的23个库
© 2025 Trail of Bits.
使用Hugo和Mainroad主题生成。