英国网络安全机构警告称,人工智能将使人们难以分辨电子邮件是真的还是由骗子和恶意行为者发送的,包括要求电脑用户重置密码的邮件。
国家网络安全中心(NCSC)表示,由于人工智能工具的复杂性,人们将很难识别网络钓鱼信息——用户被骗交出密码或个人信息。
生成式人工智能(Generative AI)是一种能够从简单的手动输入提示中生成令人信服的文本、语音和图像的技术,它已经通过ChatGPT等聊天机器人和被称为开源模型的免费版本广泛提供给公众。
欧盟即将出台世界上首部人工智能监管法律隶属于英国政府通信总部(GCHQ)的NCSC在其关于人工智能对英国面临的网络威胁影响的最新评估中表示,未来两年,人工智能“几乎肯定”会增加网络攻击的数量,并加剧其影响。
它说,生成式人工智能和大型语言模型——支撑聊天机器人的技术——将使识别不同类型攻击的努力复杂化,比如欺骗信息和社会工程,即操纵人们交出机密材料的术语。
“到2025年,生成式人工智能和大型语言模型将使每个人(无论其网络安全理解水平如何)都难以评估电子邮件或密码重置请求是否真实,或识别网络钓鱼、欺骗或社会工程企图。”
NCSC表示,预计勒索软件攻击也将增加。过去一年,英国图书馆(British Library)和皇家邮政(Royal Mail)等机构遭受了勒索软件攻击。
报告警告称,人工智能的复杂性为业余网络犯罪分子和黑客进入系统和收集目标信息“降低了障碍”,使他们能够瘫痪受害者的计算机系统,提取敏感数据并索要加密货币赎金。
NCSC表示,生成式人工智能工具已经通过创建虚假的“诱饵文件”(诱饵文件不包含容易暴露网络钓鱼攻击的翻译、拼写或语法错误),帮助更有说服力地接近潜在的受害者——它们的内容是由聊天机器人精心制作或修改的。
然而,它表示,作为一种合格的编码工具而出现的生成式人工智能,不会提高勒索软件代码的有效性,但会帮助筛选和识别目标。
根据英国数据监管机构信息专员办公室(Information Commissioner’s Office)的数据,2022年英国报告了706起勒索软件事件,而2021年为694起。
该机构警告说,国家行为者可能有足够的恶意软件(恶意软件的简称)来训练一个专门创建的人工智能模型,该模型将创建能够避开安全措施的新代码。NCSC表示,这样的模型必须接受从目标中提取的数据的训练。
NCSC的报告称:“几乎可以肯定,能力强大的国家行为体在网络威胁行为体中处于最佳位置,可以利用人工智能在先进网络行动中的潜力。”
国家情报中心补充说,人工智能还可以作为一种防御工具,这种技术能够检测到攻击,并设计出更安全的系统。
该报告发布之际,英国政府出台了新的指导方针,鼓励企业更好地装备自己,从勒索软件攻击中恢复过来。国家网络安全中心表示,《网络治理行为准则》旨在将信息安全与财务和法律管理放在同一层次。
但网络安全专家呼吁采取更强有力的行动。NCSC的前负责人Ciaran Martin说,除非公共和私人机构从根本上改变他们应对勒索软件威胁的方式,否则“在接下来的五年里,每年都有可能发生像大英图书馆被攻击那样严重的事件。”马丁在一份通讯中写道,英国需要重新评估其应对勒索软件的方法,包括制定更严格的赎金支付规则,并放弃对敌对国家犯罪分子进行“反击”的“幻想”。