AI如何重塑网络安全攻防格局：我们在CFTC会议上的见解

AI将如何影响网络安全：我们在CFTC会议上的发言

7月18日，美国商品期货交易委员会（CFTC）技术咨询委员会（TAC）第二次会议聚焦AI对金融领域的影响。Trail of Bits首席执行官Dan Guido在会上指出，AI可能从根本上改变网络攻防平衡，需要建立以安全为核心的基准评估体系和分类法来准确评估AI能力与风险。

具备强大能力的AI模型广泛可用，为攻击者创造了新的机会，防御者必须应对这一变化。AI将使某些攻击变得异常简单，打破现有的攻防平衡。面对这一新现实，我们必须重新评估防御策略。

许多人认为AI要么神奇要么无用，但真相介于两者之间。AI增强人类能力，但不会完全取代人类判断和专业经验。关键问题是：中等水平从业者能否在AI辅助下达到专家水平？我们的实践表明这是可能的。

AI模型能完成多项有用任务：将代码反编译为高级语言、识别并触发漏洞、编写漏洞利用脚本。但要有效利用AI，必须提出正确问题（需领域知识和提示工程技巧）并准确评估进展（AI是否优于现有尖端技术）。

选择合适的问题至关重要。AI更适合需要知识广度且容错率高的任务（如文档编写、钓鱼邮件生成），但在需要精确掌握和正确性的任务（如发现并利用iOS零日漏洞）表现欠佳。

随着AI短期内给攻击者带来更大优势，漏洞赏金、钓鱼防御、杀毒软件、入侵检测和溯源追踪将成首批受影响领域。例如，AI能批量生成针对每个目标的定制化钓鱼信息，使用母语且毫无错误。试图通过监管限制模型可用性的方法难以奏效，因为强大的开源模型已然存在。

当前急需建立以网络安全（而非编程）为重点的系统化能力评估体系。我们需要能够比较AI与现有尖端工具及人类专家水平的基准测试，以及将技术进步映射到机会与风险的分类法。

Dan Guido荣幸当选网络安全小组委员会联合主席，将继续与委员会研究AI风险与机遇、供应链安全和金融行业认证技术。