人工智能（AI）的表現(xiàn)已經(jīng)超越人類紅隊(duì)成員。在HackerOne平臺上，一個名為"Xbow"的AI聊天機(jī)器人目前位居美國安全行業(yè)聲譽(yù)排行榜首位。該平臺通過漏洞賞金計(jì)劃連接企業(yè)與道德黑客，Xbow在識別和報告企業(yè)軟件漏洞方面的表現(xiàn)顯著優(yōu)于其他99名黑客。運(yùn)營該機(jī)器人的公司表示，這在漏洞賞金歷史上尚屬首次。

這一進(jìn)展既展示了AI在網(wǎng)絡(luò)安全領(lǐng)域的飛速進(jìn)步，也暴露出攻擊者同樣可以輕松擴(kuò)展這種技術(shù)。"不幸的是，在這種情況下人工智能的應(yīng)用更有利于攻擊者而非防御者，因?yàn)榇笮徒M織仍需人工驗(yàn)證關(guān)鍵服務(wù)的補(bǔ)丁，這一過程目前仍難以自動化。"Beauceron Security的David Shipley表示。

發(fā)現(xiàn)超1000個安全漏洞

Xbow是一款完全自主的AI滲透測試工具，其創(chuàng)造者表示它"運(yùn)作方式與人類滲透測試員相似"，能在幾小時內(nèi)完成全面測試。據(jù)其官網(wǎng)顯示，該工具通過了75%的Web安全基準(zhǔn)測試，能準(zhǔn)確發(fā)現(xiàn)并利用漏洞。

Xbow向HackerOne提交了近1060個漏洞，包括：

• 遠(yuǎn)程代碼執(zhí)行
• 信息泄露
• 緩存中毒
• SQL注入
• XML外部實(shí)體
• 路徑遍歷
• 服務(wù)端請求偽造(SSRF)
• 跨站腳本
• 密鑰暴露

該工具還發(fā)現(xiàn)了Palo Alto公司GlobalProtect VPN平臺中一個此前未知的漏洞，影響超過2000臺主機(jī)。在最近90天提交的漏洞中，54個被歸類為嚴(yán)重，242個為高危，524個為中危。目前已有130個漏洞得到修復(fù)，303個進(jìn)入分類處理階段。

值得注意的是，約45%的漏洞仍在等待解決。Xbow安全主管Nico Waisman表示，這凸顯了"對現(xiàn)網(wǎng)目標(biāo)提交漏洞的數(shù)量和影響"。該公司首先使用PortSwigger等平臺進(jìn)行"奪旗"挑戰(zhàn)測試，隨后建立模擬真實(shí)場景的基準(zhǔn)測試，最終讓AI通過訪問源代碼進(jìn)行白盒滲透測試。

防御者需轉(zhuǎn)變策略

盡管Xbow正以驚人速度超越人類紅隊(duì)成員，專家認(rèn)為防御者在應(yīng)對AI攻擊方面仍有很長的路要走。Info-Tech研究集團(tuán)技術(shù)顧問Erik Avakian指出："黑客正快速采用新工具，使他們能夠更迅速、更精準(zhǔn)地發(fā)動攻擊。"

自動化系統(tǒng)不僅能發(fā)起大規(guī)模攻擊，還能制作高度逼真的虛假內(nèi)容，包括語音、視頻和電子郵件，"模糊了真實(shí)與虛假的界限"。Avakian強(qiáng)調(diào)："安全團(tuán)隊(duì)不再只是對抗鍵盤后的個人，而是在與一個能夠近乎實(shí)時掃描、利用和適應(yīng)的系統(tǒng)或團(tuán)隊(duì)作戰(zhàn)。"

Beauceron的Shipley警告，自動化漏洞發(fā)現(xiàn)可能帶來危險："進(jìn)一步加快漏洞發(fā)現(xiàn)和利用將導(dǎo)致更多數(shù)據(jù)泄露、勒索軟件事件和關(guān)鍵基礎(chǔ)設(shè)施中斷。"他認(rèn)為，防御者本已疲于應(yīng)對軟件補(bǔ)丁需求，這一發(fā)展將使形勢"雪上加霜"。

Avakian建議組織需要：

• 與具備機(jī)器速度檢測響應(yīng)能力的合作伙伴合作
• 建立完善的安全路線圖和風(fēng)險協(xié)議
• 加強(qiáng)團(tuán)隊(duì)培訓(xùn)

"了解這些新技術(shù)工作原理及攻擊者使用方式的團(tuán)隊(duì)，將能更快速、更自信地做出響應(yīng)。"Avakian總結(jié)道，"這種轉(zhuǎn)變不是即將到來——它已經(jīng)發(fā)生。"