連駭客也用 AI,資安攻防進入「雙方 AI 角力」時代
隨著公開可用的 AI 工具能力提升,現今的資安產業和駭客都開始大量使用 AI。外媒 NBC 指出,未來的網路安全如同一場數位版「機器人拳擊對決」(Rock 'Em Sock 'Em Robots),由雙方 AI 相互攻防較勁。
近幾個月,幾乎各類型的駭客,包括網路犯罪分子、間諜、研究人員,以及企業防守者,都將 AI 融入日常工作流程。雖然大型語言模型(LLM)仍會出錯,但在處理語言指令、將自然語言轉化為程式碼,以及辨識與摘要文件方面已相當熟練。
舉例來說,Google 利用 AI 發現漏洞,CrowdStrike 則使用 AI 協助受駭客攻擊的企業,甚至有新創公司 Xbow 將AI 用於駭客活動,並在六月成為第一個登上 HackerOne 美國排行榜榜首的 AI 公司。
不過,AI 在漏洞發現上的能力仍有限。Google 安全工程副總裁 Heather Adkins 表示,目前尚未「看到有人用 AI 發現真正的新型漏洞,它只是在做我們已經知道如何做的事情。」
同時,Xbow 雖能在排行榜上名列前茅,但也伴隨大量「垃圾」漏洞報告。curl 開源專案主要開發者 Daniel Stenberg 曾多次抱怨,截至 2025 年初的趨勢顯示,AI 產出的無效報告占約 20%,而真正有效的漏洞僅占 5%,效率明顯低於過去。
儘管如此,AI 仍展現其價值,如報導指出,北韓駭客利用生成式 AI 建立假履歷與社群帳號,進而滲透西方科技公司;俄羅斯駭客則在攻擊烏克蘭的惡意軟體中嵌入 AI,嘗試自動搜尋受害者電腦中的敏感資料並回傳至莫斯科。
不過,自動化 AI 駭客工具的成熟度已顯著提升。不到兩年前,這些工具仍需大量手動修補才能運作,如今已能更有效地執行任務。Tom’s Hardware 認為,報導中提到的「AI 駭客時代已到來」這個說法仍為時過早,因為 AI 多數仍是作為能力放大器,而非完全自動化的攻防解決方案,但 AI 將如何徹底改變網路安全生態,仍充滿變數。
(首圖來源:shutterstock)
留言 0