AI如何影响网络安全:我们在CFTC会议上的分享
Dan Guido
2023年7月31日
机器学习, 政策法规
Dan Guido, CEO
7月18日商品期货交易委员会(CFTC)技术咨询委员会(TAC)第二次会议聚焦AI对金融行业的影响。我在会议中指出,AI有可能从根本上改变网络攻防平衡,我们需要建立以安全为中心的基准和分类体系来准确评估AI能力和风险。
攻防平衡的重构
具备强大能力的AI模型的广泛可用性为攻击者提供了新的机会,防御方必须立即应对。AI将使某些攻击变得异常简单,打破现有的攻防平衡。面对这一新现实,我们必须重新评估防御策略。
超越两极分化的认知
许多人认为AI要么是神奇的万能药,要么毫无用处,但真相介于两者之间。AI增强人类能力,但不会完全取代人类判断和专业经验。关键问题是:中级从业者能否在AI辅助下达到专家水平?我们的实践经验表明这是可能的。
AI的实际能力与局限
AI模型能够完成多项有益任务:
- 将代码反编译为高级语言
- 识别并触发程序错误
- 编写漏洞利用脚本
但要有效利用AI,我们必须:
- 提出正确的问题(需要领域知识和提示工程技术)
- 准确评估进展(AI是否优于现有最先进技术?)
选择合适的问题场景
AI更适合需要广泛知识且容错性较高的问题(如文档生成、钓鱼邮件编写),而不太擅长需要精确掌握和正确性的任务(如发现并利用iOS零日漏洞)。
首当其冲的受影响领域
随着AI在短期内给攻击者带来更大优势,以下领域将首先受到影响:
- 漏洞赏金计划
- 钓鱼防御系统
- 防病毒软件
- 入侵检测系统(IDS)
- 攻击溯源 attribution
例如,AI能够为每个目标批量生成量身定制的钓鱼信息,使用目标母语且毫无错误。我们无法通过监管完全解决这些问题,模型对齐和限制模型可用性的尝试都不会奏效,因为功能强大的开源模型已经出现。
建立系统性评估体系
当前需要的是以网络安全(而非编程)为重点的系统性能力评估。我们需要:
- 能够比较AI与现有最先进工具及人类专家能力的基准测试
- 将技术进步映射到机会和风险的分类体系
委员会工作展望
我很荣幸被任命为网络安全小组委员会的联合主席,期待继续与委员会合作。我们将持续研究AI的风险与机遇、供应链安全以及金融行业的认证技术。
完整会议视频可见: [链接]
阅读我们之前关于CFTC TAC第一次会议(聚焦区块链风险)的报道。关于我们在AI赋能网络安全方面的工作,请参见以下链接:
- [AI能在软件安全审计中超越人类吗?]
- [AI对美国国家安全有何影响?]
- [机器学习安全学习精选参考资料]
- [如何评估基于AI系统的安全性]
如果您喜欢本文,请分享至: Twitter | LinkedIn | GitHub | Mastodon | Hacker News
页面内容 近期文章
- 我们构建了MCP一直需要的安全层
- 利用废弃硬件中的零日漏洞
- EthCC[8]内幕:成为智能合约审计师
- 使用Vendetect大规模检测代码复制
- 构建安全消息传递的挑战:关于Bitchat安全辩论的 nuanced 观点
© 2025 Trail of Bits.
使用Hugo和Mainroad主题生成。