AI如何影响网络安全:我们在CFTC技术咨询委员会的发言
作者:Dan Guido(CEO)
2023年7月31日
标签:机器学习, 政策
7月18日,美国商品期货交易委员会(CFTC)技术咨询委员会(TAC)第二次会议聚焦AI对金融领域的影响。我在会议中指出,AI可能从根本上改变网络攻防平衡,我们需要建立以安全为核心的基准和分类法,以准确评估AI的能力和风险。
攻防平衡的重构
具备强大能力的AI模型广泛可用,为攻击者提供了新的机会,防御者必须对此加以应对。AI将使某些攻击变得异常简单,从而打破攻防均衡。面对这一新现实,我们必须重新评估防御策略。
AI的真实能力:介于神奇与无用之间
许多人认为AI要么神奇要么无用,但真相介于两者之间。AI增强人类能力,而非完全取代人类判断和专业知识。关键问题是:中等水平从业者能否在AI辅助下达到专家水平?我们的经验表明答案是肯定的。
AI模型能完成多种有益任务:
- 将反编译代码转换为高级语言
- 识别并触发程序漏洞
- 编写利用脚本发动攻击
但要有效利用AI,必须:
- 提出正确问题(需要领域知识和提示工程技术)
- 准确评估进展(AI是否优于现有最先进技术?)
选择适合AI解决的问题
AI更适合需要广博知识且容错性较高的问题(例如:文档生成、钓鱼邮件编写),而不擅长需要高度专业性和精确性的任务(例如:发现并利用iOS零日漏洞)。
优先受影响的领域
随着AI在短期内给攻击者带来更大优势,以下领域将首先受到影响:
- 漏洞赏金计划
- 钓鱼攻击防御
- 防病毒软件
- 入侵检测系统(IDS)
- 攻击溯源
例如,AI能够为每个目标批量生产量身定制的钓鱼信息,使用目标母语且毫无错误。单纯通过监管无法解决这些问题,模型对齐和限制模型可用性的尝试都将失效,因为强大的开源模型已经问世。
建立网络安全评估体系
当前急需的是以网络安全(而非编程)为重点的系统化能力评估。我们需要:
- 能够比较AI与现有最先进工具及人类专家能力的基准
- 将技术进步映射到机会和风险的分类法
委员会工作展望
我很荣幸被任命为网络安全小组委员会联合主席,期待与委员会继续合作。我们将持续研究AI的风险与机遇、供应链安全以及金融行业的认证技术。
完整会议视频可在此处观看:[视频链接]
延伸阅读
关于CFTC TAC第一次会议(聚焦区块链风险)的先前报道,以及我们在AI赋能网络安全方面的更多工作:
- [AI能在软件安全审计中超越人类吗?]
- [AI对美国国家安全的影响]
- [机器学习安全精选学习资源]
- [如何评估基于AI的系统安全性]
如果您喜欢本文,请分享至:
Twitter | LinkedIn | GitHub | Mastodon | Hacker News
© 2025 Trail of Bits. 使用Hugo和Mainroad主题生成。