本文来自微信公众号“GoUpSec”。
众包漏洞赏金平台Bugcrowd最新发布的“黑客思维”报告调查了来自全球85个国家/地区的1000名(白帽)黑客。结果显示:55%的受访黑客认为生成式AI已经能够超越黑客(21%),或者至少能在未来五年内超越黑客(34%)。
尽管如此,黑客并不特别担心被取代,72%的人表示生成式人工智能将无法复制人类黑客的创造力。
近三分之二的受访者(64%)认为生成式AI技术实际上给道德黑客和安全研究人员带来的新的价值。
78%的黑客认为生成式AI技术五年内将颠覆现有的渗透测试和漏洞赏金工作。40%的黑客认为生成式AI已经改变了黑客的攻击方式。
调查显示,85%的受访黑客已经尝试过生成式AI技术,94%的受访黑客已经(64%)或计划(30%)在工作流中使用生成式AI工具。
当被问及如何使用生成式人工智能时,黑客提到的首要功能是:
●自动化任务(50%)
●分析数据(48%)
●识别漏洞(36%)
●验证发现(35%)
●进行侦察(33%)
黑客使用最多的生成式AI技术是ChatGPT,其次是谷歌的Bard和微软的Bhing Chat AI:
黑客使用的生成式AI工具类型非常丰富,其中文本、代码、搜索、聊天机器人和图片生成工具占比较高,分布如下:
●文本(生成、总结)80%
●代码(生成)62%
●搜索(基于AI的智能搜索分析)46%
●聊天机器人(客服自动化、报告撰写)44%
●图片(生成)38%
●数据(设计、采集、分析)25%
●机器学习(机器学习平台)13%
●音频(音频生成、文本转语音、音频总结)10%
报告指出,越来越多的黑客开始借助聊天机器人(Chatbot)来撰写报告,尤其是对于那些不善于文案或者希望节省时间和精力的人来说。
随着主流生成式人工智能技术的引入,人的因素将会发生什么变化?Bugcrowd创始人兼首席技术官Casey Ellis表示:“关于生成式人工智能将对安全产生的影响有很多猜测。我相信网络安全将变得更加难以预测。91%的受访黑客认为生成式人工智能将提高其效率和能力,这意味着对手的战术、技术和程序正在以更快的速度发生变化。”
AI的快速发展带来了哪些新的网络安全威胁?报告援引世界经济论坛的研究指出攻击者使用AI的五种主流方式如下:
●开发更加复杂精巧、难以检测的恶意软件
●大规模制作个性化钓鱼电子邮件
●生成深度伪造数据(笔迹、语音、图像和视频等),用于身份窃取、金融欺诈和谣言散播等活动
●破解验证码或猜测密码
●攻击人工智能威胁检测系统,用大量假阳性警报掩护真正的攻击活动
该报告的其它调查结果摘要如下:
一、大多数黑客(82%)并不是全职黑客。多数受访者将其视为兼职工作、副业,只有29%的人将黑客视为他们的全职职业。
二、93%的黑客会流利使用至少两种语言。
三、随着越来越多的企业实施远程办公,77%的道德黑客收入增加。
四、道德黑客实施攻击的动机多种多样,最主要的动机包括:
●个人发展(28%)
●经济收益(24%)
●兴趣(14%)
●挑战(12%)
值得注意的是,87%的受访者表示报告漏洞比从中赚钱更重要。
五、黑客参与(渗透测试或者漏洞赏金)项目的主要动力包括:
●快速响应的(甲方团队)62%
●新技术52%
●及时付费50%
●领域范围50%
●高价值漏洞44%
●熟悉的技术44%
