在网络安全犯罪和黑客世界中,人工智能的崛起可谓福音,因为它为不法分子提供了更多窃取账户、获取关键信息或进行钓鱼诈骗的手段。不过,并非全无希望,因为事实证明,有一个AI在发现代码中的安全问题和漏洞方面表现如此出色,以至于它目前在美国HackerOne排行榜上名列前茅。
开发该AI模型的公司名为Xbow(注意,不是Xbox),并将系统本身也命名为Xbow。Xbow相对较新,彭博社报告称这家初创公司成立仅一年。迄今,它已获得7500万美元的融资,但我推测,鉴于其在发现安全问题方面的成功程度,将有更多投资者感兴趣参与其中。
Xbow所做的事情并非全新,因为多年来,道德黑客一直在使用各种自动化工具测试和检查代码、网站等。当然,AI近年来尤其受关注,因为如果人工智能模型擅长一件事,那就是梳理海量数据以发现常见模式。
Xbow AI进行所谓的自动化渗透测试,模拟网络攻击或任何系统性利用代码中安全漏洞的行为。过去,这在一定程度上是手动完成的,使得整个过程非常耗时且因此昂贵。对于后者,有时成本如此之高,以至于一些公司会在不确保代码内存安全的情况下发布代码。
鉴于Xbow目前位居美国HackerOne排行榜榜首,它显然做得很好。尽管如此,它并非完美,部分原因在于AI幻觉,即模型因遇到从未训练过或至少训练不足的数据而输出完全错误的答案。Xbow公司通过手动审核每个报告的问题来解决此问题。
此外,AI缺乏上下文概念。例如,正如Xbow联合创始人奥格·德·穆尔(Oege de Moor)告诉彭博社的那样,“在查看医疗网站时,必须明确告知处方应保密。”
鉴于代码内存安全的重要性——程序不应在内存中产生意外错误使其易受攻击——我敢说,未来几年我们将看到更多像Xbow这样的初创公司和项目出现。如果它们都采用机器驱动但人工验证的方式,以实现速度和准确性的极致,那么这无疑是AI为我们所有人做的一件伟大之事。
