任何技術(shù)都有局限性，AI和人工智能也不例外。其局限有三：檢測(cè)、功耗和人力。

[[238533]]

思科一份最近的調(diào)查顯示，39%的CISO稱(chēng)其公司依賴(lài)自動(dòng)化推動(dòng)網(wǎng)絡(luò)安全工作，另有34%稱(chēng)依賴(lài)機(jī)器學(xué)習(xí)，32%報(bào)告稱(chēng)高度依賴(lài)人工智能(AI)。CISO如此看好AI令人頗為意外，畢竟，除了識(shí)別惡意行為，AI在網(wǎng)絡(luò)安全方面的應(yīng)用場(chǎng)景似乎也不是很多。

老實(shí)說(shuō)，AI絕對(duì)有益于網(wǎng)絡(luò)安全。隨著惡意軟件像流感病毒一樣不斷自我變異，不使用AI幾乎不可能發(fā)展出恰當(dāng)?shù)捻憫?yīng)策略。銀行或信用卡提供商之類(lèi)的金融機(jī)構(gòu)也可以通過(guò)適當(dāng)訓(xùn)練的AI大幅強(qiáng)化其SIEM系統(tǒng)，提升欺詐檢測(cè)和預(yù)防能力。但AI并非萬(wàn)靈丹，炒作得再多也不是。事實(shí)上，與其他任何技術(shù)一樣，AI也有其局限性。

1. 騙過(guò)一次就能暢通無(wú)阻：AI可用于欺騙其他AI

這是個(gè)大問(wèn)題。安全人員用AI優(yōu)化威脅檢測(cè)的同時(shí)，攻擊者也在琢磨著用AI規(guī)避檢測(cè)。公司企業(yè)用AI以更高的準(zhǔn)確率檢測(cè)攻擊，攻擊者就用AI來(lái)開(kāi)發(fā)更智能、會(huì)進(jìn)化的惡意軟件來(lái)規(guī)避檢測(cè)?；旧希瑦阂廛浖褪怯肁I來(lái)逃過(guò)AI檢測(cè)。惡意軟件一旦通過(guò)了公司的AI檢測(cè)關(guān)，可以很輕松在公司網(wǎng)絡(luò)內(nèi)橫向移動(dòng)而不觸發(fā)任何警報(bào)，公司的AI會(huì)將惡意軟件的各種探測(cè)行為當(dāng)做統(tǒng)計(jì)錯(cuò)誤加以排除。而到惡意軟件被檢出之時(shí)，安全防線(xiàn)早已被洞穿，傷害也可能已經(jīng)造成。

2. 功耗成問(wèn)題：低功耗設(shè)備可能拖不動(dòng)AI

物聯(lián)網(wǎng)(IoT)設(shè)備通常都是低功耗小數(shù)據(jù)量的。如果攻擊者成功將惡意軟件部署到了這一層次，那AI基本就頂不上用了。AI需要大量?jī)?nèi)存、算力和大數(shù)據(jù)才可以發(fā)揮作用。而IoT設(shè)備通常不具備這幾個(gè)條件，數(shù)據(jù)必須發(fā)送到云進(jìn)行處理才可以受到AI的響應(yīng)。而那時(shí)，已經(jīng)太遲。就好像出車(chē)禍時(shí)車(chē)載AI會(huì)自動(dòng)撥打報(bào)警電話(huà)并報(bào)告車(chē)輛所處位置，但車(chē)禍已經(jīng)發(fā)生的事實(shí)改變不了。車(chē)輛自動(dòng)報(bào)警可能比等路人幫忙報(bào)警要快一點(diǎn)，但仍然無(wú)法預(yù)防撞車(chē)。AI最多有助于在設(shè)備完全失控之前檢測(cè)出有什么不對(duì)勁，或者，在最壞的情況下，讓你不至于失去整個(gè)IoT基礎(chǔ)設(shè)施。

3. 已知的未知：AI無(wú)法分析自己不知道的東西

嚴(yán)格控制的網(wǎng)絡(luò)上AI運(yùn)行良好，但現(xiàn)實(shí)世界繽紛多彩不受控。AI有四大痛點(diǎn)：影子IT、BYOD項(xiàng)目、SaaS系統(tǒng)、雇員。無(wú)論你給AI灌注了多少大數(shù)據(jù)，都得同時(shí)解決這4個(gè)痛點(diǎn)，而這是難度大到幾乎不可能的任務(wù)?？傆泄蛦T會(huì)通過(guò)不安全WiFi網(wǎng)絡(luò)在個(gè)人筆記本電腦上打開(kāi)公司的Gmail郵件，然后，敏感數(shù)據(jù)就此流失，AI甚至連知道這一事件的機(jī)會(huì)都沒(méi)有。最終，公司自己的應(yīng)用可以受到AI保護(hù)，防止用戶(hù)誤用，但終端用戶(hù)使用你根本感知不到的設(shè)備你是無(wú)法防護(hù)的。另外，僅提供智能手機(jī)App，不提供企業(yè)訪(fǎng)問(wèn)控制，更不用說(shuō)實(shí)時(shí)日志的云系統(tǒng)，你又怎么引入AI呢?這種情況，企業(yè)沒(méi)有辦法成功利用機(jī)器學(xué)習(xí)。

AI確實(shí)有所幫助，但它并非游戲規(guī)則顛覆者。AI可用于在受控系統(tǒng)中檢測(cè)惡意軟件或攻擊者，但難以防止惡意軟件被部署在公司系統(tǒng)中，而且除非你確保它能控制你所有終端設(shè)備和系統(tǒng)，否則它一點(diǎn)用都沒(méi)有。網(wǎng)絡(luò)攻防戰(zhàn)一直在繼續(xù)，只不過(guò)，防御者和攻擊者都在用與以往不同的武器，而我們的防御只有在恰當(dāng)部署和管理之下才會(huì)有效。

與其將AI當(dāng)成網(wǎng)絡(luò)安全救星，不如把精力放在更基本的老問(wèn)題上：缺乏控制、缺乏監(jiān)視、缺乏對(duì)潛在威脅的理解。只有了解了用戶(hù)和用戶(hù)使用的設(shè)備，知道用戶(hù)都會(huì)拿這些設(shè)備來(lái)干什么，然后確保所用系統(tǒng)能切實(shí)受到AI的保護(hù)，才可以開(kāi)始部署并訓(xùn)練AI。

【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文