根据今天在马里兰州国家港口举行的 Gartner 安全与风险管理峰会上的演讲,人工智能距离成熟还有很长的路要走,但人工智能技术仍有一些攻击性和防御性用途,网络安全专业人员应该关注。
Gartner 人工智能和网络安全研究副总裁 Jeremy D’Hoinne 告诉与会者,备受关注的大型语言模型 (LLM) “并不智能”。他举了一个例子,ChatGPT 最近被问及 2023 年最严重的 CVE(常见漏洞和暴露)是什么——而聊天机器人的回答基本上是胡说八道(下面的截图)。
ChatGPT 安全提示和响应(来源:Gartner)
Deepfakes 是人工智能面临的最大威胁
尽管迄今为止 LLM 工具还不够完善,但 D’Hoinne 指出有一个领域需要认真对待人工智能威胁:深度伪造。
D’Hoinne 表示:“安全领导者应该将深度伪造作为关注的领域,因为这种攻击是真实存在的,而且目前还没有可靠的检测技术。”
深度伪造不像传统的网络钓鱼攻击那样容易防御,后者可以通过用户培训来解决。他说,加强业务控制至关重要,例如对支出和财务的批准。
他建议加强业务工作流程、安全行为和文化计划、生物识别控制以及更新的 IT 流程。
人工智能加速安全补丁
D’Hoinne 指出的一个潜在的 AI 安全用例是补丁管理。他引用数据表明,通过按威胁和漏洞利用概率对补丁进行优先排序以及检查和更新代码等任务,AI 辅助可以将修补时间缩短一半。
GenAI 安全工具可以提供帮助的其他领域包括:警报丰富和总结;交互式威胁情报;攻击面和风险概述;安全工程自动化以及缓解援助和文档。
AI 代码修复(来源:Gartner)
AI 安全建议
“生成式人工智能既不会拯救也不会毁掉网络安全,”D’Hoinne 总结道。“网络安全计划如何适应它将决定其影响。”
他向与会者提出的建议包括“重点关注深度伪造和社会工程等亟待解决的问题”,以及“尝试使用人工智能助手来增强员工能力,而不是取代员工”。而且,应该根据用例的预定义指标来衡量结果,“而不是临时的人工智能或生产力指标”。
发表评论
您还未登录,请先登录。
登录