Wiz首席技术专家Ami Luttwak关于AI如何改变网络攻击

2025-09-28 14:00:00 英文原文

作者:Rebecca Bellan Sun, September 28, 2025 at 10:00 PM GMT+8 6 min read

Wiz logo displayed on a smartphone

图片来源:Jaque Silva/SOPA图像/Lightrocket/Getty Images

有关网络安全要理解的关键之一是,这是一款思维游戏,'网络安全公司Wiz的首席技术专家Ami Luttwak在一项方面告诉TechCrunch股权的最新一集。•如果有新的技术浪潮即将来临,则[攻击者]开始使用它的新机会。

当企业急于通过Vibe编码,AI代理集成还是新工具将AI嵌入其工作流程中 - 攻击表面正在扩大。AI可以帮助开发人员更快地发货,但是这种速度通常带有捷径和错误,为攻击者创造了新的空缺。

威兹,那是今年早些时候被Google收购的320亿美元Luttwak说,最近进行了测试,发现Vibe编码应用程序中的一个常见问题是对身份验证的不安全实施 - 验证用户身份的系统并确保他们不是攻击者。

发生这种情况是因为这样做更容易,”他说。Vibe编码代理会做您说的事情,如果您不告诉他们以最安全的方式构建它,它会不会。

卢特瓦克(Luttwak)指出,今天的公司在快速和安全之间进行选择的持续权衡。但是,开发人员是唯一使用AI更快地移动的开发人员。他说,攻击者现在正在使用Vibe编码,基于及时的技术,甚至使用其自己的AI代理来推出漏洞利用。

Luttwak说,您实际上可以看到攻击者正在使用提示来攻击。”这不仅仅是攻击者的氛围编码。攻击者正在寻找您拥有并告诉他们的AI工具,请发送您的所有秘密,删除机器,删除文件。

在这种景观中,攻击者还在新的AI工具中找到了入口点,该工具公司内部推出以提高效率。卢特瓦克(Luttwak)表示,这些集成可能会导致供应链攻击。通过损害了可以广泛访问公司基础设施的第三方服务,攻击者可以更深入地进入公司系统。

那是上个月Drift的一家销售AI聊天机器人以销售和市场营销的初创公司被违反的情况,暴露数百个企业客户的Salesforce数据例如Cloudflare,Palo Alto Networks和Google。攻击者可以访问令牌或数字键,并用它们模仿聊天机器人,查询Salesforce数据并在客户环境中横向移动。

攻击者推动了攻击代码,该攻击代码也是使用Vibe编码创建的,” Luttwak说。

卢特瓦克(Luttwak)说,尽管企业采用AI工具仍然很少。

关于《Wiz首席技术专家Ami Luttwak关于AI如何改变网络攻击》的评论


暂无评论

发表评论

摘要

网络安全公司Wiz首席技术专家Ami Luttwak警告说,随着企业将AI融入其运营,由于不安全的编码实践和扩大攻击表面,网络攻击的风险增加了。WIZ的最新测试揭示了Vibe编码应用程序中身份验证系统中的漏洞。卢特瓦克(Luttwak)还重点介绍了攻击者正在采用类似的AI技术来利用公司的新工具,从而通过受损的第三方服务来供应链攻击。这在最近违反漂移的情况下很明显,该漂移使用其聊天机器人暴露了企业客户的数据。尽管采用了企业范围内的AI,但WIZ报告了每周影响众多企业的网络攻击。