作者:Fiona Jackson
Gartner 连续第三个季度发现,利用人工智能发起的网络攻击是企业面临的最大风险。
该咨询公司从 7 月到 9 月对 286 名高级风险和保障高管进行了调查,80% 的人将人工智能增强的恶意攻击视为他们担心的首要威胁。这并不奇怪,因为有证据表明人工智能辅助的攻击正在增加。
其他常见的新兴风险报告中概述包括人工智能辅助的错误信息、不断升级的政治两极分化以及错位的组织人才概况。
6 月,惠普拦截了一场在野外传播恶意软件的电子邮件活动,其中的脚本– 很可能是在 GenAI 的帮助下编写的。 –VBScript 结构简洁,每个命令都有注释,这对于人类来说是不必要的编写工作。
研究人员随后使用 GenAI 生成了一个脚本,并发现了类似的输出,这表明原始恶意软件至少部分是由人工智能生成的。
数量商业电子邮件妥协安全公司 Vipre 第二季度检测到的攻击比 2023 年同期增加了 20%,其中五分之二是由人工智能生成的。首要目标是首席执行官,其次是人力资源和 IT 人员。
VIPRE 首席产品和技术官 Usman Choudhary 在新闻稿:“犯罪分子现在正在利用复杂的人工智能算法来模仿合法通信的语气和风格,制作引人注目的网络钓鱼电子邮件。”
仅零售网站就平均经历了每天 569,884 次 AI 驱动的攻击根据 Imperva 威胁研究,从 4 月到 9 月。研究人员表示,诸如 ChatGPT、Claude 和 Gemini 等工具,以及从网站上抓取 LLM 培训数据的特殊机器人,正被用来进行分布式拒绝服务攻击和业务逻辑滥用等。
更多有道德的黑客也承认使用 GenAI比例从去年的64%增加到77%根据 BugCrowd 的报告。这些研究人员表示,它有助于进行芯片通道攻击、故障注入攻击以及自动并行攻击以同时破坏多个设备。但如果“好人”发现人工智能有价值,那么坏人也会发现人工智能的价值。
人工智能可以降低网络犯罪的准入门槛,因为技术水平较低的犯罪分子可以使用它来生成深度伪造品、扫描网络以寻找入口点、进行侦察等。苏黎世联邦理工学院的研究人员最近创建了一个可以解决 Google reCAPTCHAv2 难题的模型用于 100% 区分人类和机器人。
安全公司 Radware 的分析师在今年年初预测,这种新发现的可访问性将导致私有GPT模型的开发用于邪恶目的。他们还预测,零日漏洞利用和深度造假诈骗随着恶意行为者更加精通法学硕士和生成对抗网络,这种情况将会增加。
的确,Google 的 Mandiant跟踪了 2023 年发现和利用的 97 个零日漏洞,标志着增加 56%从一年前开始。上个月,微软深度伪造被列为最重要的攻击类型之一被越来越多的勒索软件团体使用。
看:人工智能 Deepfakes 日益成为亚太地区组织面临的风险
IT 供应商重要性还首次进入 Gartner 本季度高级风险和保障管理人员最关心的问题清单。
Gartner 风险与审计实践高级研究总监 Zachary Ginsburg 在 Gartner 新闻稿中表示:“如果客户的服务集中于一个供应商,那么在发生中断时可能会面临更高的风险,或者可能会面临意外的变化服务取决于欧盟、美国或其他地方的新法规或法律决定。”
他提到七月的 CrowdStrike 事件,全球约有 850 万台 Windows 设备被禁用,并对紧急服务、机场、执法机构和其他重要组织造成了巨大干扰。
“由于 SaaS 供应商等第三方依赖其他供应商,组织可能无法充分意识到其暴露的程度,”Ginsburg 补充道。Gartner 预测全球 45% 的企业他们的软件供应链将遭受攻击到 2025 年。