摘要：虽然人工智能代理有望引领下一波人工智能创新，但它们也将为网络攻击者提供一套更强大的工具，以探测企业防御中的漏洞。

   虽然人工智能代理有望引领下一波人工智能创新，但它们也将为网络攻击者提供一套更强大的工具，以探测企业防御中的漏洞。
　　
　　身份识别平台初创公司StytchInc.的首席执行官里德•麦克金利-斯坦普尔（ReedMc Ginley-Stempel）说。OpenAI公司2024年年初推出的GPT-4大型语言模型，在识别网站安全漏洞方面似乎比之前的模型要有效得多。他说：“如果你出于正确的原因使用人工智能，它应该会改善网络安全，但我们看到它在另一方面发展得更快，攻击者意识到他们可以使用代理人工智能手段来获得优势。”
　　
　　他指出，伊利诺伊大学香槟分校的研究人员今年4月发表的一篇论文发现，GPT-4可以编写复杂的恶意脚本，以查找Mitre公司的“常见漏洞和暴露”列表中的漏洞，成功率为87%。使用GPT-3.5的类似实验成功率为0%。该报称，GPT-4在探测弱点时能够一次跟踪多达50个步骤。
　　
　　这引发了人工智能代理大军不断冲击防火墙寻找裂缝的担忧。McGinley-Stempel说，“GPT-4现在可以有效地成为黑客的自动化渗透测试工具，你可以很容易地看到，代理行为被联系在一起，一个代理识别漏洞，另一个代理专注于利用漏洞。”
　　
　　后卫实力不济的
　　
　　他说，这种持续不断的渗透测试超出了大多数网络安全组织的打击范围。他说：“许多组织可能每年都会进行一次渗透测试，但一年中应用程序或网站中的很多东西都会发生变化。企业内部的传统网络安全组织并没有为持续的自我渗透测试而建立。”
　　
　　Stytch正试图改进McGinley-Stempel所说的流行身份验证方案中的弱点，例如区分计算机和人类的完全自动化公共图灵测试，或captcha，一种用于确定与系统交互的用户是人类还是机器人的挑战响应测试。验证码可能需要用户破译混乱的字母或计算图像中交通灯的数量。
　　
　　Stytch的技术为每个访客创造了一个独特的、持久的指纹。该公司声称，它的软件可以在不需要用户交互的情况下，以99.99%的准确率检测机器人和无头浏览器等自动访问者。无头浏览器是一种没有图形用户界面的浏览器，主要用于加快测试等自动化任务的速度，但也可能被利用来混淆身份验证系统，不知道访问者是人还是机器。
　　
　　Stytch最近在客户网站上检测到的无头浏览器自动化流量百分比的增加表明，不良行为者已经在使用生成式人工智能来自动化攻击。McGinley-Stempel说，自从GPT-4发布以来，来自无头浏览器的网站流量几乎增加了两倍，从3%增加到8%。
　　
　　他说，人工智能将进一步削弱验证码的价值。生成式人工智能视觉和无头浏览器的结合可以击败需要访问者识别物体和图像的方案，这是一个流行的用例。即使是复杂的自动化检测技术也可能被像AcaptchaDevelopmentLP的Anti-Captcha这样的服务所挫败，后者将验证码解决方案外包给人工。
　　
　　他说：“把某人放在验证码前面会增加攻击的成本，但不一定是真正的测试。”
　　
　　人工智能军备竞赛
　　
　　他说，最终，使用人工智能和模型来解决网络安全挑战将大多是无效的。他说：“如果你只是在攻击方面与机器学习模型进行对抗，而机器学习模型则处于防御方面，那么你将陷入一些不一定有效的糟糕概率情况。”
　　
　　概率安全提供基于概率的保护，但假设不能保证绝对安全。Stytch正在研究诸如指纹识别之类的确定性方法，这种方法可以根据已知特征收集有关设备或软件的详细信息，并提供更高程度的确定性，以确定用户的身份。
　　
　　利用现有技术，企业可以采用的最有效的预防措施是将分布式拒绝服务攻击预防、指纹识别、多因素身份验证和可观察性相结合。他说，最后一项技术经常被忽视。
　　
　　他说，“如果你在你的网站上嵌入我们的设备指纹识别JavaScript片段，你会在一个小时内得到很多有趣的数据，关于你的流量中机器人、无头浏览器和真人的百分比。”ImpervaInc.今年早些时候的报告显示，信息技术公司的高管们经常会发现，现在几乎一半的互联网流量来自非人类来源。
　　
　　编辑：Harris