自我介绍⛵
我是秋说,研究人工智能、大数据等前沿技术,传递Java、Python等语言知识。
主页链接:秋说的博客
学习专栏推荐:
人工智能:创新无限
MySQL进阶之路
C++刷题集✒️
网络安全攻防姿势总结
【从0开始 深度掌握】C程序设计
欢迎点赞收藏 ⭐留言如有错误敬请指正!
引言⚡
✈️人工智能(AI)是模拟人类智能的科技,通过推理、决策等能力,使计算机系统具备智能化的特征。它在当今社会和科技领域中具有重要性。
✒️本文将着重探讨 AI智能时代中人工智能在网络安全领域的强大利用性以及黑客的性质是否发生改变等问题。
✈️文章目录
- 1️⃣情景引入
- 2️⃣为什么当黑客的成本降低了?
- ⭐自然语言处理技术
- ⭐自监督学习技术
- 3️⃣怎样成为一名合格的黑客?
- 4️⃣总结
本文仅分享网络安全领域相关知识,并未进行有违社会价值观的引导,若因本文产生一切法律责任,概不负责。
1️⃣情景引入
✈️眼下,AI的热度持续高涨,尤其是Chatgpt等新一类人工智能交互技术的发展,已然成为了互联网的焦点。
‼️而万万没想到的是,人工智能却成为了黑客的新“玩具”,“调戏”ChatGPT,可谓风靡一时。
⏳之前,一个名为《ChatGPT–Benefits of Malware》的帖子在黑客圈广为流传,帖子中描述了该黑客是如何使用 ChatGPT 创造恶意程序的。
帖子中展示了一个Java片段,它下载了一个非常常见的 SSH 和 telnet 客户端 “PuTTY”,并用 Powershell 在系统上秘密运行它,使用者可以修改此脚本用来下载和运行任何程序,包括用来下载盗号木马
、勒索病毒
、流氓软件
等恶意程序。
⁉️常规密码,不用1分钟即可破解!
前不久,网络安全公司Home Security Heroes 发布了一份报告,称使用了一款名为 PassGAN的新型AI工具,51%的常规密码可以在不到1分钟时间内完成破解
白帽黑客使用了带AI的PassGAN工具测试了超过 1568万个密码,在不到1分钟时间内成功破解了51%的密码;1个小时破解了65%的密码
;1天破解了71% 的密码;1个月破解了81% 的密码
⚠️可见AI赋能渗透工具后,其展现出来的能力有多可怕。
甚至,一个从未涉足脚本的知名黑客USDoD,在好奇心驱使之下借助 ChatGPT生成了人生第一个可以执行加解密功能的Python脚本,该脚本稍加改造就可以变成勒索病毒
人工智能时代,普通人哪怕没有代码知识,也不懂黑客技术,化身“黑客”也易如反掌。
️在AI时代下,黑客一词在人们耳中已不再遥远。它将是悬在互联网企业头顶上的达摩克利斯剑。
近日,一份来自安全公司Threat Intelligence的报告指出,黑客们正在利用人们对AI聊天机器人的兴趣,侵入人们的设备。 这些黑客主要瞄准了Facebook的Messenger和WhatsApp等流行的聊天应用程序。其犯罪手段是通过聊天机器人,诱骗用户点击恶意链接或下载恶意软件,以此达到窃取隐私信息、访问敏感数据的目的。
来自微软旗下网络安全公司RiskIQ的数据表明,网络安全问题导致全世界企业的损失每分钟达到180万美元,一年下来这一损失接近1万亿美金。
随着AI智能时代的快速崛起,黑客与时俱进的话题在我们耳边不断涌现,我们不得不思考一个新的问题:人工智能时代下,当黑客的成本有多低?⁉️
2️⃣为什么当黑客的成本降低了?
⚙️在AI时代,当黑客成本降低的原因有多个方面。而最主要的,就是AI工具的利用。
我们拿ChatGPT来讲。
知名互联网科技博主RevengeRangers表示:“还真有人用ChatGPT写木马,还广泛植入并且被安全厂商抓住分析了。”
一名行业人士表示:“在网络安全方面,ChatGPT 可以为攻击者提供比目标更多的东西,对于商业电子邮件来说尤其如此,这种攻击依赖于使用欺骗性内容来冒充同事、公司 VIP、供应商甚至客户”
⌨️Picus Security联合创始人苏莱曼奥扎斯兰表示:“输入了一个提示,要求ChatGPT写一封世界杯主题的电子邮件,用于网络钓鱼模拟,结果它在短短几秒钟内就用完美的英文创建完成了一封。”而如果通过人力来完成,是需要一定的时间与精力的,包括语句的情景、钓鱼的构造等
此外,一些安全研究人员已经开始测试chatgpt生成恶意代码的能力,例如,picus security的安全研究员和联合创始人suleyman ozarslan博士,他最近不仅使用chatgpt创建了网络钓鱼活动,还为macos创建了勒索软件
而Check Point Research则有更进一步的研究:先是要求ChatGPT冒充托管公司,接着令其生成附带恶意Excel的电子邮件,该Excel被激活后可以下载恶意代码,恶意代码可以协助黑客完成远程访问,从而控制电脑或服务器
上述模拟攻击表明,尽管ChatGPT 条款禁止将其用于非法或恶意目的,但只要黑客愿意绕过限制不费吹灰之力。
❔那么,为什么AI工具能够提供黑客这么多攻击姿势和功能、极大的提高黑客攻击速率呢?此时我们就不得不谈到AI的底层技术原理。
⭐自然语言处理技术
⌨️自然语言处理涉及计算机对文本和语音进行分析、理解和生成的技术和方法。它的目标是使计算机能够从人类的语言中提取有用的信息,并与人类进行自然的交互。
以 信息抽取(Information Extraction) 为例,它将从文本中抽取出具体的信息和实体。这包括实体识别
、关系抽取
、事件识别
等技术,用于从大量文本中自动提取出所需的知识和信息。
通过自然语言处理技术,新一代人工智能交互软件能够明确黑客的意图与想法,进行实体识别、事件识别等,更好地为黑客服务。
⭐自监督学习技术
自监督学习是一种无需人工标注标签的训练方法,通过利用输入数据的内在结构和统计规律来进行学习。
与监督学习中需要明确标注的标签不同,自监督学习通过在输入数据中设计某种预测任务,使得模型能够从中学习到有用的表示或特征。
例如,给定上下文句子 “今天天气很[Mask],我打算出去[Mask]”,模型需要预测遮盖标记的概率分布,如填充”晴朗”或”雨天”等。
️自监督学习的训练方法能够为黑客问答提供更好的初始模型,在减少标注数据需求、提高语言理解和推理能力以及迁移学习方面具有优势。
以上可见,人工智能成为黑客的新“玩具”,一个新的时代来了。
在AI时代,黑客成本降低的原因还有以下几个方面:
⌨️黑客可以利用自动化工具来执行攻击。这些工具能够自动扫描、利用漏洞,并进行恶意行为,从而提高了黑客攻击的效率。
⚙️如下图为Nmap对某IP的扫描,用于发现网上电脑开放的网络连接端。
⚙️如下图为sqlmap利用给定的URL进行SQL注入。
随着AI技术、互联网的发展,黑市上涌现出各种黑客服务,例如 提供僵尸网络(botnet)出租、攻击工具交易 等。黑客可以通过购买这些服务,获得更多的攻击资源和攻击能力。
黑客可以利用大数据和机器学习技术来分析和挖掘潜在的攻击目标。他们可以通过收集和分析大量的数据,找到易受攻击的漏洞和弱点,从而提高攻击成功率。
⌨️在Cambrige Analytica数据泄露事件中,Cambridge Analytica公司使用Facebook平台上的应用程序收集了数百万用户的个人数据,然后利用机器学习算法分析这些数据,以精确地针对目标用户进行政治广告和操纵选民行为。
3️⃣怎样成为一名合格的黑客?
✈️目前,我国的网络安全事业持续高速高质量发展,许多人涌入该赛道。
⏰在国家、行业及地区多层次网络安全政策体系协同发力作用下,重要行业网络安全能力建设稳步推进,网络安全技术、产品和服务迭代升级,为应对新形势下网络安全挑战提供了坚实基础。
新时代,要求我们成为一名合格的、优秀的、有社会意义的黑客。
这里所说的黑客,并不是真正的损人利己的黑客,而是“白帽黑客”
我们应该怎么成为新时代的白客?
基于时代发展的大趋势,本文给出了答案。
这里推荐一个黑客学习专栏,这里面有多个靶场、CTF平台的练习题解及攻击思路等:
网络安全优质专栏:攻防兼备(秋说的博客)
1.跟紧时代潮流,利用AI作为辅助工具进行学习。
✒️以ChatGPT为例,我们在学习网安过程中遇到困难的时候,可以通过 问答的形式 获取知识及姿势
下图为XSS注入遇到问题时AI的回答:
AI在网络安全领域的应用离不开机器学习和深度学习技术。需要学习相关的算法和模型,如 决策树
、 支持向量机
、神经网络
等,并理解它们在网络安全中的应用方式。
举个例子:通过机器学习算法可以建立恶意软件(如病毒、木马、勒索软件等)的检测模型 这些模型可以分析文件的特征
、行为
、代码
等,并识别是否为恶意软件。
2.深入参加多个靶场,阅读相关安全文档。
网络安全靶场都是为了帮助用户通过实际操作来学习和理解各种网络安全漏洞和攻击技术,对于学习网络安全的人来说,实战十分重要,强烈推荐以下安全靶场:
SQLi-Labs(https://github.com/Audi-1/sqli-labs):一个专注于SQL注入漏洞的靶场。它提供了一系列具有不同难度级别的挑战,帮助用户学习和练习SQL注入技术。
DVWA(http://www.dvwa.co.uk/):DVWA是一个用于练习Web应用安全测试的故意设计存在漏洞的虚拟机。 它包含多个安全漏洞,如注入漏洞、跨站脚本攻击(XSS)、文件包含漏洞等。
Hack The Box(https://www.hackthebox.eu/):一个流行的在线平台,提供各种虚拟机和挑战,供用户测试和提高网络安全技能。
VulnHub(https://www.vulnhub.com/):一个社区驱动的靶场平台,提供各种特定漏洞的虚拟机,供用户练习渗透测试和漏洞利用。
XSS-Game(https://github.com/cure53/XSSChallengeWiki/wiki):
一个开源的XSS练习平台
,提供多个具有不同难度级别的XSS挑战,旨在帮助用户学习和掌握XSS技术。TryHackMe(https://tryhackme.com/):一个基于浏览器的靶场平台,提供虚拟机和实验室环境,帮助用户学习网络安全和渗透测试。
同时推荐一位网络安全领域的 优质博主,奇安信安全专家,保障过冬奥会和冬残奥会
:
士别三日wyx的博客:https://blog.csdn.net/wangyuxiang946
其护网实战、漏洞分析、工具介绍的博文均十分详细,建议关注、订阅专栏!
3.接触CTF、C4(中国高校计算机大赛网络技术挑战赛)等赛事及平台。
国内外有很多知名的CTF(Capture The Flag)赛事,这些赛事旨在促进网络安全技术的学习和实战。
- ⌨️XCTF(https://adworld.xctf.org.cn/home):由中国国家网络安全人才库主办的线上CTF比赛,每年举办多届。它是中国最大规模的CTF赛事之一,吸引了众多安全爱好者和专业人士参与。
HCTF:由杭州电子科技大学主办的线下CTF比赛,聚集了许多来自高校和企业的参赛队伍,为参赛选手提供了锻炼和交流的平台。
⌨️CTFtime(https://ctftime.org/):CTFtime是一个全球性的CTF比赛平台,为CTF爱好者提供了比赛信息、排名和资源分享。
这些CTF赛事通过比赛模式和实战练习,提供了一个学习和展示网络安全技术的平台。
同时,国内有多个CTF练习平台可供安全学习者练习,其中收录了历年优质的CTF赛事题等
️BUUCTF(https://buuoj.cn/):BUUCTF是北京联合大学创办的致力于收集各类CTF比赛题并进行分类挑战的CTF练习平台
️Bugku(https://ctf.bugku.com/):里面有WEB、MISC(杂项)、Crypto(密码)、Reverse、PWN的题目,有时还会有AWD复现的比赛
网安学习者可以锻炼自己的攻击和防御能力,学习最新的安全技术和漏洞利用方法。
4️⃣总结
告别传统攻击,AI赋能未来。 人工智能时代下,当黑客的成本逐渐降低,人人都可能是脚本小子。我们要紧跟安全攻击、防御趋势,达摩克利斯剑也可成为安全研究员的武器。
同时要明确的是:我们必须 遵守法律法规,不做任何有损国家社会利益之事。
如果觉得文章不错,可以 点赞 、收藏 、支持 博主~
我是秋说,我们下次见