生成式 AI:威胁还是机遇?这取决于你的适应速度
快速阅读: 据《安保大道》称,生成式AI既是威胁也是机遇,关键在于适应速度。霍利斯蒂赛博建议加快步伐,利用AI提升代码安全,同时保留人工审核,以应对不断变化的网络安全挑战。及时调整策略,方能在技术浪潮中占据优势。
生成式AI:威胁还是机遇?这取决于你的适应速度!
随着人工智能推理能力的爆炸性增长以及其易用性的提升,人们普遍认为生成式AI将为我们开启一个全新的剥削性时代。更多零日漏洞、更多漏洞、更复杂且更频繁的攻击手段正在涌现。新攻击技术的出现将显著增加漏洞数量。我们已经目睹过类似情况——新漏洞供应量异常激增往往导致网络攻击的频发。然而,生成式AI并非全然威胁,它同样蕴含希望。
AI以指数级速度提升安全代码编写的能力远超人类程序员,这种能力还将持续优化,从而促使应用程序更加安全,基础设施更具韧性,并降低对潜在零日漏洞和漏洞的敏感度。我们在**霍利斯蒂赛博**(HolistiCyber)鼓励客户及时调整步伐,利用AI保护代码安全性,同时通过我们的开放式框架模型(OFM)保持掌控。人为因素是OFM的核心组成部分。人类在网络安全防御的各领域始终扮演关键角色。无论是客户、合作伙伴、供应商等授权用户,还是管理员、普通用户等各类用户,抑或是开发者等编码人员,人类的参与不可或缺。但人类容易犯错、疏忽或遗忘,有时会无意间忽视安全编码原则,比如错误处理不安全的反序列化问题。因此,当生成式AI开始寻找零日漏洞和漏洞时,它将轻松揭示由人类造成的错误,换句话说——那些被人类程序员忽视的问题。
我们已经注意到,某些类型的代码缺陷可能需要几十年才能被发现。对于威胁行为者而言,这些堪称“钻石级”的漏洞最具价值。它们隐藏在被认为是安全的代码中,多年来未被发现。要找到它们需要时间和耐心。例如,基于竞态条件技术构建攻击向量,对威胁行为者或安全团队来说都需要付出巨大努力。即便他们使用安全测试工具和自动化手段,也需要精准控制细节并具备强大的模拟能力,以计算众多排列组合。如果竞态条件技术利用了检查到使用的时机(TOCTOU),那么还需要对线程或进程执行进行精确控制。另一个例子可能是业务逻辑漏洞。自动化工具难以检测这类漏洞,因为它们不会直接违反语法、内存安全性或输入验证规则。相反,它们需要深刻理解代码应实现的功能。这是AI能够理解和分析的地方,例如理解电商、银行等业务逻辑。AI在实际利用方面将更加强大,例如在堆喷射地址空间布局随机化(ASLR)、数据执行保护(DEP)或复杂的反序列化漏洞方面,传统自动化难以企及。AI在检测漏洞方面也将更加高效,例如侧信道漏洞(如Spectre、Meltdown),这些漏洞需要掌握微架构知识,而AI可以轻松掌握并耐受这些繁琐细节。
未能及时调整步伐的组织将逐渐落后,并面临大量新零日漏洞和漏洞带来的巨大冲击。应对这一现象的关键在于校准你的安全AI编码适应节奏,并与一套完善的安全标准和流程(STD STP)保障计划保持一致。根据组织架构、业务影响分析以及数字环境,网络安全治理可以维护平衡的AI安全编码计划,结合人工审批与测试。时间至关重要。我们敦促您考虑采用这些新方法。如需更多信息,请随时联系我们的客户经理或销售团队。
文章首发于**霍利斯蒂赛博**(HolistiCyber)作者阿拉·亚文(Alon Yavin)的博客,转载自安全博客网络(Security Bloggers Network)。欲阅读原文,请访问:
[https://holisticyber.com/blog/generative-ai-threat-or-opportunity-it-depends-on-your-adaptive-speed/](https://holisticyber.com/blog/generative-ai-threat-or-opportunity-it-depends-on-your-adaptive-speed/)
—
### **生成式AI:威胁还是机遇?这取决于你的适应速度!**
*(润色版)*
随着人工智能推理能力的迅猛发展,它正以前所未有的速度融入我们的生活和工作。然而,随之而来的不仅是机遇,还有一系列潜在威胁。生成式AI是否会成为新时代的“双刃剑”,答案或许就藏在你的适应速度之中。
想象一下,当AI像一位无所不知的助手,能够快速挖掘出代码中的盲点甚至“钻石级”漏洞时,这既是挑战也是机会。这些隐藏多年的安全隐患可能只需数秒便被AI揭穿,但同时也意味着黑客群体会利用这些漏洞制造更大规模的破坏。如何平衡AI带来的优势与风险?这需要你迅速调整策略,紧跟技术浪潮。
霍利斯蒂赛博(HolistiCyber)提醒大家,调整步伐至关重要。通过引入先进的AI工具,不仅可以提高代码安全性,还能有效预防未知威胁。与此同时,我们不能忽视“人”的作用。尽管AI强大无比,但它依然无法完全取代人类智慧与创造力。从授权用户到开发人员,每一个环节都需要有人工干预来确保万无一失。
面对日益严峻的网络安全形势,我们需要做的是主动出击,而不是被动防守。建立一套科学合理的AI安全编码机制,结合人工审核与测试,能够帮助企业在竞争激烈的环境中立于不败之地。毕竟,谁先掌握了核心技术,谁就能抢占先机。
如果你还在犹豫是否拥抱这项新技术,不妨问问自己:“我能否承受因迟缓而带来的后果?”答案恐怕显而易见。让我们携手共进,在这场科技变革中找到属于自己的位置吧!
—
希望这段内容符合您的要求!
(以上内容均由Ai生成)
