F5 2024網路安全預測-AI成為威脅的增強器

網路資訊安全的預測變化莫測，一方面是現代網路在硬體、軟體、協議和服務的複雜度增加了攻擊面，再則網路攻擊者也在不斷更新攻擊技術與手法，這也增加了保護系統的難度。2023年F5針對網路資訊安全預測，有些預測真的準確無誤，如API相關的安全漏洞與前一年相比，上升了三分之一以上，超過1.2億的資料在2023年22次漏洞中被公開，其中大多數是由於身分驗證或授權失效引起的。其中27%的漏洞是由安全配置錯誤引起的，相較2022年增加近4倍。開發人員通常未遵循組織已定義的標準和政策，部署了影子API，這無疑也屬於安全配置錯誤的範疇。

有鑑於知己知彼更能擬定周全的安全策略的信念下，在F5的安全營運工程師和威脅情報分析師的研究發現：AI提升攻擊者的能力上產生極大的影響。表面上來說，這並不像是一個多麼具體前瞻的預測，因為從ChatGPT首次亮相以來，全球的安全專業人員都在預測，使用大型語言模型來撰寫釣魚郵件的危害。事實上，這只是開始，生成式人工智慧將以各種方式成為威脅的增強器。F5認為，釣魚攻擊的真正瓶頸不是惡意鏈接的初始點擊，而是追求經濟利益，受害者被攻擊的次數遠比我們可能想像的更多更複雜。

以下的威脅預測，將針對在攻擊者可以利用LLMs的超大型深度學習的一些具體方式下，將展開的行動。

預測 1：生成式人工智慧將與釣魚受害者對話

受益於生成式人工智慧，攻擊者透過社交工程學手段欺騙用戶，模擬特定人物或情境，他們讓詐騙者與受害者的溝通，聽起來更具說服力。F5安全情報中心研究發現，生成式語言模型（LLMs）將接管詐騙者和受害者之間的來回對話，組織犯罪團體把LLMs當作支援中心，直接翻譯被攻擊者使用的非母語，並以真實的模擬對話回應，無需招募更多的詐騙人。同時，它還會利用公開可得的個人資料，建立極為逼真的詐騙行為，進而提高社交工程攻擊的成功率。這將使傳統釣魚網路攻擊在規模和效率上都有了巨大的轉變，生成式人工智慧的使用，也不僅限於製作最初的電子郵件誘餌。

預測 2：使用生成式人工智慧進行虛假資訊宣傳與製作虛假帳戶

生成式人工智慧工具在不久的將來將顯著改變惡意資訊操作的方式，包括建立虛假內容、自動生成的虛假訊息、有針對性的活動誤導以及規避內容審核。F5研究報告觀察發現，小規模的影響是在全球當今的國家衝突中，生成式人工智慧產出的圖像，已經被國家和非國家行為者散播，以獲得對其一方的支持。在更大的範圍使用上，我們預計在2024年包括美國總統選舉和巴黎奧運會等重大世界事件之前，將會有不同的行為者利用這種技術。

同時，AI還可用於創建虛假內容，包括圖像和文字，以製作難以區分真實人類內容的虛假帳戶。這將擴展到利用AI進行政治虛假信息，並在組織犯罪中用於製造虛假帳戶以實施詐騙、憑證填充、虛假訊息和市場操縱等攻擊策略。在無需成本的情況下，生產力無法想像。

預測 3：網路攻擊將使用生成式人工智慧的即時輸入

網路攻擊將採用生成式人工智慧的即時輸入。這種做法可能會引入新的漏洞，原因在於使用人工智慧的即時輸入，讓攻擊者能夠根據防禦措施做出即時反應。生成式人工智慧可能會在攻擊中動態地調整程序序列，以應對防禦策略，這可能創造出新的攻擊向量或漏洞，使得現有的安全防護措施變得無法立即應對，從而增加了系統的弱點。不久的將來，可以預期LLMs將使攻擊鏈多樣化，構成威脅。

預測 4：LLM運作的不透明性洩漏隱憂

生成式人工智慧在其運作中的不可預測性和不透明性是很大的潛在問題，在難以準確預測其生成的內容或行為，這使得可能導致出現意外結果，包括未預期的錯誤或泄漏，也使得安全、隱私以及治理／法遵性團隊執行任務時變得更複雜。我們預測將會看到一些由生成式人工智慧驅動的工具的驚人失敗，例如大規模的個人資料的外洩、未經授權的存取新技術，以及DDoS攻擊。這種不透明性增加了管理、監督和調整生成式AI應用的難度與隱憂，特別是在需要確保安全性、隱私和法遵性的情境下。

預測 5：速度凌駕安全導致生成式漏洞

生成式人工智慧（GenAI）也造就 「生成式代碼助理」應運而生，當大家沉浸於高速、效率的代碼生成協助時，如果缺乏適當的防護機制，使得開發人員在短時間內難以進行全面的審查，可能會錯過潛在的漏洞或安全問題，導致生成的代碼存在風險。此外，大型語言模型只能根據現有建構時間，它可能無法掌握最新的漏洞訊息，這可能導致生成的代碼中未考慮到最新的安全漏洞，使得生成的代碼容易受到已知漏洞的攻擊。

在生成式人工智慧時代，將速度置於安全性之上的組織，將不可避免地引入新的漏洞。架構複雜性也將使安全防護變得更棘手，系統和安全架構的各種變化，以及對代碼安全性缺乏全面考慮和審查。將導致生成的代碼存在著各種潛在的安全風險。