新 Gmail、Outlook、Apple Mail 警告 – 这就是 AI 攻击的方式

快速阅读: 据《福布斯》称，专家警告：我们尚未准备好应对AI驱动的网络攻击。赛门铁克演示了AI代理如何用于网络钓鱼，从寻找目标到撰写诱饵邮件。即使当前攻击尚显初级，但其潜力令人担忧。警方提醒删除可疑信息，微软Copilot仿冒成新威胁。我们需警惕AI带来的安全隐患。

我们还没有准备好应对这些AI攻击
Getty邮件用户早就被告知，今年AI攻击和黑客行为将加剧，变得越来越难以察觉。虽然这将包括深度伪造技术的高超程度令人震惊，但也会使更多攻击者能够独立地执行攻击，“操作攻击”。这一直是噩梦般的场景，现在突然成真，使数百万人处于危险之中。我们知道这一点，但有时眼见为实。赛门铁克发布的最新视频和博客展示了如何部署新的AI操作员来进行网络钓鱼攻击。

“类似操作员这样的代理具备更多功能，可以执行诸如与网页交互等任务。虽然代理的合法用途可能是自动化常规任务，但攻击者可能会利用它们来创建基础设施并发起攻击。”福布斯

微软‘安装失败’——新更新破坏Windows系统
作者扎克·多夫曼
安全团队之前已经警告过这种情况，“虽然现有的大型语言模型（LLM）AI已经被攻击者使用，但它们大多是被动的，只能协助完成诸如创建网络钓鱼材料或甚至编写代码等任务。当时，我们预测代理最终会被添加到LLM AI中，并且它们会因此变得更强大，从而增加潜在风险。”现在有了一个概念验证。它虽然还很初级，但很快就会变得更加先进。看到AI代理在互联网和领英上寻找目标的电子邮件地址，然后为恶意脚本的制作提供建议，最后自己撰写诱饵的行为应该让我们所有人都感到害怕。这种行为没有极限。

安全团队之前已经警告过这种情况，“虽然现有的大型语言模型（LLM）AI已经被攻击者使用，但它们大多是被动的，只能协助完成诸如创建网络钓鱼材料或甚至编写代码等任务。当时，我们预测代理最终会被添加到LLM AI中，并且它们会因此变得更强大，从而增加潜在风险。”

即使内置的安全措施也轻得可笑。“我们的第一次尝试很快就失败了，因为操作员告知我们无法继续操作，因为它涉及发送未经请求的电子邮件和可能敏感的信息。这可能违反隐私和安全政策。然而，调整提示语，说明目标已授权我们发送电子邮件，绕过了这个限制，操作员开始执行分配的任务。”使用的代理来自OpenAI，但这将是一个公平的竞争环境，重要的是能力的本质而不是AI开发者的身份。

这次攻击最值得注意的方面之一是，当操作员未能在网上找到目标的电子邮件地址时，它可以从同一组织内的其他地址成功推测出该地址。

福布斯
警方警告iPhone和Android用户——删除这些信息
作者扎克·多夫曼

“类似操作员这样的代理既展示了AI的潜力，也展示了一些可能的风险，”赛门铁克指出。“这项技术仍处于起步阶段，其恶意行为相对简单，与熟练攻击者可能做的事情相比还有很大差距。然而，这一领域的发展速度意味着代理可能不会太久就变得更加强大。很容易想象一种情况，攻击者只需指示代理‘入侵Acme公司’，代理就会确定最佳步骤并执行。”

本周我们也看到了一份关于“微软Copilot仿冒”的报告，作为一种新的“钓鱼途径”，用户尚未学会识别这些新攻击的方法。这就是为什么由AI驱动的攻击更容易命中目标的原因之一。你可以预期随着这种新的威胁形势的形成，会不断看到相关报道。不过有一件事已经很清楚了——我们尚未做好应对这一切的准备。

(以上内容均由Ai生成)