任何技術都有局限性，AI和人工智能也不例外。其局限有三：檢測、功耗和人力。

[[238533]]

思科一份最近的調查顯示，39%的CISO稱其公司依賴自動化推動網絡安全工作，另有34%稱依賴機器學習，32%報告稱高度依賴人工智能(AI)。CISO如此看好AI令人頗為意外，畢竟，除了識別惡意行為，AI在網絡安全方面的應用場景似乎也不是很多。

老實說，AI絕對有益于網絡安全。隨著惡意軟件像流感病毒一樣不斷自我變異，不使用AI幾乎不可能發(fā)展出恰當?shù)捻憫呗浴ｃy行或信用卡提供商之類的金融機構也可以通過適當訓練的AI大幅強化其SIEM系統(tǒng)，提升欺詐檢測和預防能力。但AI并非萬靈丹，炒作得再多也不是。事實上，與其他任何技術一樣，AI也有其局限性。

1. 騙過一次就能暢通無阻：AI可用于欺騙其他AI

這是個大問題。安全人員用AI優(yōu)化威脅檢測的同時，攻擊者也在琢磨著用AI規(guī)避檢測。公司企業(yè)用AI以更高的準確率檢測攻擊，攻擊者就用AI來開發(fā)更智能、會進化的惡意軟件來規(guī)避檢測?；旧?，惡意軟件就是用AI來逃過AI檢測。惡意軟件一旦通過了公司的AI檢測關，可以很輕松在公司網絡內橫向移動而不觸發(fā)任何警報，公司的AI會將惡意軟件的各種探測行為當做統(tǒng)計錯誤加以排除。而到惡意軟件被檢出之時，安全防線早已被洞穿，傷害也可能已經造成。

2. 功耗成問題：低功耗設備可能拖不動AI

物聯(lián)網(IoT)設備通常都是低功耗小數(shù)據(jù)量的。如果攻擊者成功將惡意軟件部署到了這一層次，那AI基本就頂不上用了。AI需要大量內存、算力和大數(shù)據(jù)才可以發(fā)揮作用。而IoT設備通常不具備這幾個條件，數(shù)據(jù)必須發(fā)送到云進行處理才可以受到AI的響應。而那時，已經太遲。就好像出車禍時車載AI會自動撥打報警電話并報告車輛所處位置，但車禍已經發(fā)生的事實改變不了。車輛自動報警可能比等路人幫忙報警要快一點，但仍然無法預防撞車。AI最多有助于在設備完全失控之前檢測出有什么不對勁，或者，在最壞的情況下，讓你不至于失去整個IoT基礎設施。

3. 已知的未知：AI無法分析自己不知道的東西

嚴格控制的網絡上AI運行良好，但現(xiàn)實世界繽紛多彩不受控。AI有四大痛點：影子IT、BYOD項目、SaaS系統(tǒng)、雇員。無論你給AI灌注了多少大數(shù)據(jù)，都得同時解決這4個痛點，而這是難度大到幾乎不可能的任務?？傆泄蛦T會通過不安全WiFi網絡在個人筆記本電腦上打開公司的Gmail郵件，然后，敏感數(shù)據(jù)就此流失，AI甚至連知道這一事件的機會都沒有。最終，公司自己的應用可以受到AI保護，防止用戶誤用，但終端用戶使用你根本感知不到的設備你是無法防護的。另外，僅提供智能手機App，不提供企業(yè)訪問控制，更不用說實時日志的云系統(tǒng)，你又怎么引入AI呢?這種情況，企業(yè)沒有辦法成功利用機器學習。

AI確實有所幫助，但它并非游戲規(guī)則顛覆者。AI可用于在受控系統(tǒng)中檢測惡意軟件或攻擊者，但難以防止惡意軟件被部署在公司系統(tǒng)中，而且除非你確保它能控制你所有終端設備和系統(tǒng)，否則它一點用都沒有。網絡攻防戰(zhàn)一直在繼續(xù)，只不過，防御者和攻擊者都在用與以往不同的武器，而我們的防御只有在恰當部署和管理之下才會有效。

與其將AI當成網絡安全救星，不如把精力放在更基本的老問題上：缺乏控制、缺乏監(jiān)視、缺乏對潛在威脅的理解。只有了解了用戶和用戶使用的設備，知道用戶都會拿這些設備來干什么，然后確保所用系統(tǒng)能切實受到AI的保護，才可以開始部署并訓練AI。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文