AI将在五年内超过黑客

众包漏洞赏金平台Bugcrowd最新发布的“黑客思维”报告调查了来自全球85个国家/地区的1000名(白帽)黑客。结果显示:55%的受访黑客认为生成式AI已经能够超越黑客(21%),或者至少能在未来五年内超越黑客(34%)。

尽管如此,黑客并不特别担心被取代,72%的人表示生成式人工智能将无法复制人类黑客的创造力。

近三分之二的受访者(64%)认为生成式AI技术实际上给道德黑客和安全研究人员带来的新的价值。

78%的黑客认为生成式AI技术五年内将颠覆现有的渗透测试和漏洞赏金工作。40%的黑客认为生成式AI已经改变了黑客的攻击方式。

调查显示,85%的受访黑客已经尝试过生成式AI技术,94%的受访黑客已经(64%)或计划(30%)在工作流中使用生成式AI工具。

当被问及如何使用生成式人工智能时,黑客提到的首要功能是:

  • 自动化任务(50%)
  • 分析数据(48%)
  • 识别漏洞(36%)
  • 验证发现(35%)
  • 进行侦察(33%)

黑客使用最多的生成式AI技术是ChatGPT,其次是谷歌的Bard和微软的Bhing Chat AI:

黑客使用的生成式AI工具类型非常丰富,其中文本、代码、搜索、聊天机器人和图片生成工具占比较高,分布如下:

  • 文本(生成、总结)80%
  • 代码(生成)62%
  • 搜索(基于AI的智能搜索分析)46%
  • 聊天机器人(客服自动化、报告撰写)44%
  • 图片(生成)38%
  • 数据(设计、采集、分析)25%
  • 机器学习(机器学习平台)13%
  • 音频(音频生成、文本转语音、音频总结)10%

报告指出,越来越多的黑客开始借助聊天机器人(Chatbot)来撰写报告,尤其是对于那些不善于文案或者希望节省时间和精力的人来说。

随着主流生成式人工智能技术的引入,人的因素将会发生什么变化?Bugcrowd创始人兼首席技术官Casey Ellis表示:“关于生成式人工智能将对安全产生的影响有很多猜测。我相信网络安全将变得更加难以预测。91%的受访黑客认为生成式人工智能将提高其效率和能力,这意味着对手的战术、技术和程序正在以更快的速度发生变化。”

AI的快速发展带来了哪些新的网络安全威胁?报告援引世界经济论坛的研究指出攻击者使用AI的五种主流方式如下:

  • 开发更加复杂精巧、难以检测的恶意软件
  • 大规模制作个性化钓鱼电子邮件
  • 生成深度伪造数据(笔迹、语音、图像和视频等),用于身份窃取、金融欺诈和谣言散播等活动
  • 破解验证码或猜测密码
  • 攻击人工智能威胁检测系统,用大量假阳性警报掩护真正的攻击活动

该报告的其它调查结果摘要如下:

一、大多数黑客(82%)并不是全职黑客。多数受访者将其视为兼职工作、副业,只有29%的人将黑客视为他们的全职职业。

二、93%的黑客会流利使用至少两种语言。

三、随着越来越多的企业实施远程办公,77%的道德黑客收入增加。

四、道德黑客实施攻击的动机多种多样,最主要的动机包括:

  • 个人发展(28%)
  • 经济收益(24%)
  • 兴趣(14%)
  • 挑战(12%)

值得注意的是,87%的受访者表示报告漏洞比从中赚钱更重要。

五、黑客参与(渗透测试或者漏洞赏金)项目的主要动力包括:

  • 快速响应的(甲方团队)62%
  • 新技术52%
  • 及时付费50%
  • 领域范围50%
  • 高价值漏洞44%
  • 熟悉的技术44%

报告链接:

https://ww1.bugcrowd.com/inside-the-mind-of-a-hacker-2023/

前一篇周刊 | 网安大事回顾(2023.7.10—2023.7.16)
后一篇12个小众开源渗透测试工具