AI将在五年内超过黑客

众包漏洞赏金平台Bugcrowd最新发布的“黑客思维”报告调查了来自全球85个国家/地区的1000名（白帽）黑客。结果显示：55%的受访黑客认为生成式AI已经能够超越黑客（21%），或者至少能在未来五年内超越黑客（34%）。

尽管如此，黑客并不特别担心被取代，72%的人表示生成式人工智能将无法复制人类黑客的创造力。

近三分之二的受访者（64%）认为生成式AI技术实际上给道德黑客和安全研究人员带来的新的价值。

78%的黑客认为生成式AI技术五年内将颠覆现有的渗透测试和漏洞赏金工作。40%的黑客认为生成式AI已经改变了黑客的攻击方式。

调查显示，85%的受访黑客已经尝试过生成式AI技术，94%的受访黑客已经（64%）或计划（30%）在工作流中使用生成式AI工具。

当被问及如何使用生成式人工智能时，黑客提到的首要功能是：

• 自动化任务（50％）
• 分析数据（48％）
• 识别漏洞（36％）
• 验证发现（35％）
• 进行侦察（33％）

黑客使用最多的生成式AI技术是ChatGPT，其次是谷歌的Bard和微软的Bhing Chat AI：

黑客使用的生成式AI工具类型非常丰富，其中文本、代码、搜索、聊天机器人和图片生成工具占比较高，分布如下：

• 文本（生成、总结）80%
• 代码（生成）62%
• 搜索（基于AI的智能搜索分析）46%
• 聊天机器人（客服自动化、报告撰写）44%
• 图片（生成）38%
• 数据（设计、采集、分析）25%
• 机器学习（机器学习平台）13%
• 音频（音频生成、文本转语音、音频总结）10%

报告指出，越来越多的黑客开始借助聊天机器人（Chatbot）来撰写报告，尤其是对于那些不善于文案或者希望节省时间和精力的人来说。

随着主流生成式人工智能技术的引入，人的因素将会发生什么变化？Bugcrowd创始人兼首席技术官Casey Ellis表示：“关于生成式人工智能将对安全产生的影响有很多猜测。我相信网络安全将变得更加难以预测。91%的受访黑客认为生成式人工智能将提高其效率和能力，这意味着对手的战术、技术和程序正在以更快的速度发生变化。”

AI的快速发展带来了哪些新的网络安全威胁？报告援引世界经济论坛的研究指出攻击者使用AI的五种主流方式如下：

• 开发更加复杂精巧、难以检测的恶意软件
• 大规模制作个性化钓鱼电子邮件
• 生成深度伪造数据（笔迹、语音、图像和视频等），用于身份窃取、金融欺诈和谣言散播等活动
• 破解验证码或猜测密码
• 攻击人工智能威胁检测系统，用大量假阳性警报掩护真正的攻击活动

该报告的其它调查结果摘要如下：

一、大多数黑客（82%）并不是全职黑客。多数受访者将其视为兼职工作、副业，只有29%的人将黑客视为他们的全职职业。

二、93%的黑客会流利使用至少两种语言。

三、随着越来越多的企业实施远程办公，77%的道德黑客收入增加。

四、道德黑客实施攻击的动机多种多样，最主要的动机包括：

• 个人发展（28%）
• 经济收益（24%）
• 兴趣（14%）
• 挑战（12%）

值得注意的是，87%的受访者表示报告漏洞比从中赚钱更重要。

五、黑客参与（渗透测试或者漏洞赏金）项目的主要动力包括：

• 快速响应的（甲方团队）62%
• 新技术52%
• 及时付费50%
• 领域范围50%
• 高价值漏洞44%
• 熟悉的技术44%