网络安全领域的未来,本质上是一场数字化版本的“拳击机器人”对战——攻防两端的人工智能系统相互角力。至少,这是美国全国广播公司(NBC)关于行业如何看待AI的报道所传递的印象。
报告称:“最近几个月,形形色色的黑客——网络罪犯、间谍、研究人员乃至企业防御者——都已开始将AI工具纳入工作流程。ChatGPT等大语言模型(LLM)仍会出错,但它们已显著擅长处理语言指令,将自然语言转化为计算机代码,或对文件进行识别与摘要。”
NBC进一步披露:谷歌正利用AI发现系统漏洞,CrowdStrike公司“借助AI帮助疑似遭黑客入侵的用户”,而初创企业Xbow开发的AI系统甚至在6月“登顶HackerOne美国排行榜”(该平台现已将排行榜拆分为个人研究者与Xbow等“集体”独立追踪)。
本月早些时候,我曾报道CrowdStrike的警告——朝鲜特工使用生成式AI伪造简历、社交媒体账号等材料,诱骗西方科技公司雇佣他们。入职后,这些人员转而利用AI工具与同事沟通、编写代码,在领取薪水的同时维持表面正常。AI在此类社交工程攻击及文件摘要方面的效用已获证实(尽管其独立开展复杂网络安全研究的能力仍存疑)。
但宣称“AI黑客时代”降临或许为时过早,毕竟当前AI更多是作为效率倍增器而非全自动解决方案。谷歌安全工程副总裁Heather Adkins向NBC表示,尚未发现AI带来“真正新颖的成果”,它“只是复现已知方法”。她承认技术会进步,但自1960年代以来,各界对AI突破极限的预言始终未能兑现。
Xbow登顶HackerOne榜单固然引人注目,却掩盖了同类AI工具产生的海量无效报告。开源项目curl(几乎所有联网设备的底层依赖)首席开发者Daniel Stenberg多次痛陈,自己耗费大量时间处理AI误报的“漏洞”。他在近期博文中指出:“2025年迄今,AI垃圾报告占比飙升至20%(平均每周收到两例),而7月初仅有5%提交被确认为真实漏洞,有效率同比大幅下降。”
这位维护着超200亿设备核心组件的开发者,不得不投入大量精力应对此问题。其他开源项目维护者是否也深陷类似困境却缺乏关注?
当前AI的“战果”包括:助力朝鲜的社交工程攻击、加速谷歌漏洞发现、博弈HackerOne排名。NBC还披露,俄罗斯黑客将AI嵌入针对乌克兰的恶意软件,“自动检索受害者计算机中的敏感文件回传莫斯科”。
但AI自主发现的有价值漏洞寥寥,开源项目正被无关报告淹没,且无法验证俄方AI收集的情报质量(若AI在摘要文件时因“害怕虚拟家庭被送古拉格”而虚构机密内容呢?)。这是否足以定义“AI黑客时代”,抑或只是科技巨头天价投入、风投机资本流向及地缘博弈催生的又一泡沫?
