一提到人工智能（AI）和安全问题，信息安全和IT部门就觉得这不过是一种艺术形式。毕竟，上世纪80年代以来，我们就一直听说人工智能即将到来。很多供应商已经把人工智能和机器学习（ML）术语引入到他们的营销用语中，看起来都差不多：他们卖的是未来，而不是现在。

但这其中可能孕育着真理的萌芽。但是，在撰写本文之际，我们很难找到不相信人工智能会对信息安全产生深远影响的专家。受访的专家们只是在时间上有不同的意见。有的专家质疑为什么我们还没有见过网络犯罪份子以强有力的方式操纵人工智能。还有专家则认为这更像是三到五年之后的事情。但无一例外的是，所有人都将其视为安全面临的下一重大挑战。

TomKoulopoulos是Delphi集团主席，也是Wasabi技术公司的顾问，他评论说，展望未来三年，“我们将能看到人工智能用于自动实施高度个性化的攻击，这些攻击将行为数据和网络交互模式结合起来用于精准地攻击个体目标。”想想你现在收到的钓鱼电子邮件，而几年后会是什么样子。他给出了一个人工智能推动的钓鱼攻击实例：“想象一下，钓鱼攻击会借用与你认识的人和你进行实际交互：‘嘿，很高兴昨天在星巴克见到您！我知道您去年夏天去过克里特岛旅游之后，还想再去地中海玩一次。您想不想看看我们公司的最新优惠……’”

是不是很恐怖？Koulopoulos警告说，“人工智能不但能从我们行为的数字模式中进行挖掘，还能从连接到物联网（IoT）的越来越多的设备和应用程序所产生的交互数据中进行挖掘，由此带来了严重的威胁，而上面的例子只是其牛刀小试而已。”

自动攻击与规避检测

GaneshKrishnan是AvidSecure公司的联合创始人兼首席技术官，还曾是雅虎和Atlassian等公司的高级信息安全官，他举了一个不同的例子：“更聪明的攻击包括安装恶意软件，这些恶意软件能了解它所运行的环境，知道怎样躲避，避开检测，并通过难以与正常行为区分的方式去窃取数据，从而击败检测和监控工具。”

UmeshYerram是制药公司AmerisourceBergen的首席数据保护官，他对此表示同意。他认为，“一旦人工智能技术得到了广泛应用，网络犯罪份子将能够发起新一轮非常老练的攻击，这些攻击可能会避开大部分传统的安全检测和监控工具。”

然后就是规模问题。当今复杂的安全泄露事件通常不是自动进行的，攻击者需要付出巨大的努力，而且非常老练才能实现入侵并窃取数据。但是人需要吃饭和睡觉，他们不能24小时工作。Domo公司的首席信息安全官兼可信和安全高级副总裁NiallBrowne评论说：“快速前进到人工智能时代，我们正在研究智能的机器对机器攻击，这类攻击能够一年365天24小时毫不停歇地运行。网络犯罪人工智能系统每秒能做出数百万个直觉性的决定，以确定渗透和攻破数据的最佳方式。”Browne补充说，令人恐惧的是，未来的非法人工智能系统“将不仅能攻击一家公司，而且可以同时攻击成百上千家企业。这是非常可怕的景象。”

接受我们采访的大多数专家都不相信当人工智能察觉到自己被发现后，会去改变攻击目标。然而，Browne预测，网络攻击的重点将从“简单地窃取数据和关闭系统转向更复杂的目标，包括操纵。”换句话说，通过改变系统、个人或者企业所看到的数据，从而诱使他们以某种方式去行事。Browne补充说，“人工智能可能被用来操纵股票价格，引起货币波动，扰乱核反应堆测试结果，甚至影响选举结果。”

展望未来三年，Radware公司的EMEA安全拓展专员PascalGeenens说：“我可以想象，一些组织很好的或者民族国家的网络犯罪集团使用人工智能来综合生成和创建新的攻击途径。”他补充说，人工智能的整个领域都会参与进来。“以前，机器学习一直是自动攻击所利用的主要领域，遗传算法和强化学习等人工智能系统将被用于生成新的攻击途径，并系统性地去破坏各种系统——无论是云、物联网还是工业物联网/SCADA。当网络犯罪分子把这些与自动化结合使用时，我们将遇到一个完全自动化的生态系统，它能随着时间的推移而进行自我攻击、破坏和改进，在规模和持久性上几乎没有限制。”这将是一个不断进化的攻击系统。

Geenens看到网络罪犯分子改变了角色，从执行真正的攻击转而成为人工智能自动黑客攻击机器的维护者和开发者。机器将进行黑客攻击；人将提高机器的效率。

给首席安全官和首席信息安全官的忠告

安全专家们都认为信息安全官们应该以牙还牙，意味着人工智能至少在防御人工智能推动的攻击方面同样重要，人们相信它能担起此重任。即便如此，很少有实例说明人工智能在这方面是如何发挥作用的。一些公司一直在密切关注这个问题。

安全领导们应该做些什么准备呢？AmerisourceBergen公司的Yerram指出，“首席安全官和首席信息安全官们应迅速采用基于人工智能的技术。我们迟早会看到基于人工智能的威胁。现在是时候让首席安全官和首席信息安全官们领导迈向基于人工智能的安全控制，从而保护他们的企业。”

Geenens评论说：“整个过程将涉及自动检测日益复杂和不断能自适应的新威胁。你无法阻止自己察觉不到的东西。”未来两年内可能出现人工智能增强威胁的新一波浪潮，最初的重点应该是使用人工智能来确保检测出基于人工智能的威胁。购买和/或开发这样的系统应是当务之急。

迟早，你的公司将被迫投资于人工智能技术，为的是防范基于人工智能的威胁。如果不是等到迫不得已时才去采取行动，那么情况会变得更好，因为使用人工智能不像打开黑匣子的开关那么简单。这将需要时间和资金去研究和学习。Yerram指出，网络安全专业人员应提高他们的技能，努力研究人工智能。

Geenens则指出，“对于那些已经经历了数字化转型的环境，更可能成为自动攻击和人工智能攻击的目标，是非常容易受到攻击的环境。”

在世界各地的企业中，人工智能将在帮助解决网络安全专业人员短缺问题和网络安全技能差距方面发挥关键作用。基于人工智能的技术和机器人过程自动化技术将帮助信息安全部门应对较低级别的安全威胁（例如，勒索软件、恶意软件和加密货币挖矿等），从而使得高级网络安全专业人员能够集中精力去处理新型的复杂威胁。

密切注意源代码漏洞，并确保云供应商也是如此。Geenens知道有人使用深度学习（机器学习的子集）来发现新的代码漏洞。他说：“运行开源软件的云平台将成为漏洞扫描的主要目标。封闭的源码软件也难以逃过自动攻击。”

Koulopoulos建议我们应该“为人类建立普遍的身份机制。在人工智能兴起之际，最大的一种风险就是无法分辨它和人类。如果没有万无一失的身份验证机制，我们不可避免地会出现人工智能网络犯罪漏洞。”

跌宕起伏

残酷的事实是，没有人能预测未来。有两种观点说明了对人工智能辅助威胁的极端反应。

国际数据公司（IDC）全球安全产品研究总监ChrisKissel表示：“好的企业拥有更多的员工，更好的计算能力，能更好地理解网络和硬件，与内容交付网络和云主机也有着良好的关系……但是这种‘间谍与间谍’的游戏永远不会改变；改变的只是参与手段。”

NiallBrowne则表示：“人类交互的许多方面现在都是依赖于技术。人工智能智慧的增长远远快于人类，它永远不会睡觉，自然地进行自我保护，最可怕的是它没有道德。一旦人工智能出现，它将拥有巨大的能力，但却没有道德约束。它可以很容易地使用我们的技术来破坏我们的现代生活结构。”

要点——不管你是否相信刚读到的所有预测，都不如以下这一点重要：注意自己的情绪。这些不同观点的总体基调可以概括为“这是一个可怕的局面”。不要忽视它，更不要将它束之高阁。

作者：ScotFinnie是《计算机世界》的前主编，也是一位自由撰稿人，在IT行业从业数十年。

编译：Charles

原文网址：https://www.csoonline.com/article/3315740/security-awareness/cyber-threats-fueled-by-ai-securitys-next-big-challenge.html

责任编辑：周星如