在科技飞速发展的今天,生成式人工智能曾被视为推动生产力革命的重要力量,是自动化和智能化时代的象征。然而,当众多企业还在努力探索生成式 AI 的各种应用场景时,犯罪组织却已经率先将其彻底 “武器化”,一场由 AI 技术引发的网络安全危机正在悄然降临。
最新的安全研究发现,AI 技术正被大规模地用于数据窃取等非法活动。NCC Group 的专家就曾成功操纵编程工具,导致企业的敏感数据泄露,其中包括数据库与源代码等关键信息。这一事件犹如一记警钟,让人们意识到在 AI 时代,网络安全面临着前所未有的挑战。安全分析师 Dave Brauchler 更是警示道:“我们在安全领域从未如此疏忽”。
今年 8 月,还首次出现了供应链攻击与 AI 操纵相结合的案例。黑客们向代码管理平台 Nx 植入了恶意程序,这使得全球数十万用户在不知情的情况下下载了受感染的软件。更为可怕的是,该恶意软件还能够操控本地的 AI 工具,如谷歌、Anthropic 系统等,进而窃取用户的密码、加密钱包以及机密文件等重要信息,最终导致超过千台设备的数据被回传。
不仅如此,勒索软件活动也已经实现了全程的 AI 操控。从漏洞探测、数据窃取到赎金谈判,攻击者都借助 AI 技术实现了自动化。他们利用 AI 挖掘未知漏洞,甚至能够自动化地与受害者进行交涉,整个犯罪过程变得更加高效和隐蔽。例如,某科技公司的 CEO 张总就曾收到一封勒索邮件,邮件中详细列出了公司即将发布的机密产品信息、他个人银行账户的交易记录以及他女儿学校的地址等敏感信息,并要求他在 24 小时内支付 500 万比特币,否则后果自负。张总立刻召集技术团队排查,却没有发现公司网络被入侵的痕迹,直到后来才得知这是一起利用 AI 代理生成的高度定制化勒索攻击案件。
除了上述攻击方式,AI 技术还被应用于多种形式的网络犯罪。比如,一些黑产团伙通过训练专属的本地模型,精准对标恶意代码场景,用于持续生成变种 RAT、免杀脚本、Exploit Payload 等恶意代码。这些模型具有动态生成能力,可根据目标环境的不同,如语言、系统版本、安全软件等,动态调整攻击内容,从而突破静态签名检测。此外,黑客们还利用 AI 进行提示注入攻击,通过电子邮件正文、知识库文档或用户输入路径注入 “隐蔽命令”,悄然影响模型行为,诱导其输出敏感数据或做出非法响应。
在诈骗领域,AI 技术也被广泛滥用。黑客们通过 AI 换脸技术,伪造企业高管的视频,指令财务人员转账。他们还利用 AI 生成虚假的社交媒体账号,实施 “杀猪盘” 诈骗,通过与受害者建立感情联系,诱导他们投资虚假的加密货币或赌博平台。甚至,AI 还能被用来伪造身份潜入大公司,黑客利用 AI 生成虚假的简历和面试视频,成功入职企业后,窃取薪水和机密信息。
安全公司 CrowdStrike 的 Adam Meyers 预言:“2025 年 AI 将成为新型内部威胁根源”。当恶意软件与防御 AI 相互博弈时,网络攻击可能彻底失控。SentinelOne 专家 Alex Delamotte 也指出,AI 应用呈现爆发式增长,但安全防护却严重滞后,“技术被强行植入各产品,却未解决其新风险”。最危险的是 “代理 AI”,它可独立执行交易决策,实验证明,黑客能诱骗 AI 浏览器在仿冒商店完成购买。
面对来势汹汹的 AI 犯罪,我们不能坐以待毙。企业需要加强网络安全防护措施,提升对 AI 技术应用的安全管理和监控,定期进行安全评估和漏洞修复。同时,相关部门也应加强对 AI 犯罪的研究和打击力度,完善法律法规,明确 AI 犯罪的责任界定和处罚标准。此外,公众也需要提高警惕,增强防范意识,避免成为 AI 犯罪的受害者。
AI 犯罪时代的降临,让我们深刻认识到,在享受 AI 技术带来的便利和创新的同时,我们必须高度重视其潜在的安全风险。只有全社会共同努力,才能有效应对 AI 犯罪的挑战,守护我们的网络安全和数字未来。