跨界骚操作?为啥搞安全的跑去学 AI ?
前言
今年以来,随着Chatgpt的大火,AI开始进入普通人的世界,随着一段时间的爆火,一场“AI革命”开始悄然演变,你以为的热度下降,可能只是“技术生命周期的”规律演变,作为安全从业者,你是否思考过AI与安全将是怎样的一种关系?
一、搞安全的不学漏洞,跑来学AI,是跨界操作吗?
随着科技的快速发展,人工智能(AI)已经成为当下的热门领域。许多安全领域的从业者也开始关注 AI,甚至学习 AI 技术。有人可能会认为,搞安全的学习 AI 是一种跨界操作。然而,我要告诉你,搞安全的学习 AI 并不是跨界,而是一种顺应时代发展的必然趋势。
首先,我们要明确网络和数据安全的本质是什么?安全是利用一切手段达到的一种状态,AI 也可能是其中的一个解。在道哥(曾任阿里云首席安全科学家,《白帽子讲 Web 安全》作者)的采访中,他提到了安全是一个对抗的过程,本质来讲它就是寻找这件事情的解决方案。也就是说,在安全领域,我们需要不断地调整和优化策略,从各维度探索问题的综合解决方案,以应对不断变化的威胁。而 AI 作为一种强大的工具,海量的知识储备本身就可以帮助我们更好地实现这种综合治理的目标。
二、安全是一个对抗的过程,时刻拥抱变化才能更好的在对抗中稳住求胜
既然安全是一个对抗的过程,那时刻拥抱变化才能更好的在对抗中稳住求胜。安全的本质是对抗,这是一场没有硝烟的战争。在这个过程中,安全从业者总是需要不断学习新的知识,掌握新的技能,以应对不断出现的新威胁。
当下 AI 发展迅猛,AI 安全的可能性非常多,比如利用 AI 技术进行威胁情报分析、异常检测、漏洞发现、代码安全审查等。还记得在面试安全工程师时,一般1-2年经验的师傅们每每被问到职业规划或者比较感兴趣的安全方向时,总是会回答“代码审计”,各种语言的代码审计,确实,代码审计是有助于对于安全漏洞、系统安全的理解,这是无可厚非的,但若是希望将“代码审计”作为一种高阶技能傍身,那可能并不是一种很好的选择,你确定你能比AI懂的语言类型更多,比AI记录的漏洞代码更全吗?再回到效率,一目十行可能也赶不上机器的读取速度。
当前AI在专业模型上已经有不少的安全应用落地场景,例如:防火墙、流量分析、人机对抗(人机验证/过人机验证)、代码泄露检测等等,另外也有一些具备强大工程能力的大佬也开始着手打造自己的AI安全工具,其中大体的方向主要为:
1、让AI学会使用大量的安全工具/服务,通过自然语言让其协助你完成琐碎的工作,作为你的助手。比如通过AI智能助手调用已有的安全工具进行进行信息收集、通用漏洞测试、DNSlog测试等等。
2、改造现有的安全产品,增加自然语言操作入口,通过对话驱动AI操作产品实现想要的动作,降低专业产品的使用门槛。比如一些较为复杂的红队工具如CobaltStrike、MSF等,通过自然语言操作,再也不要记忆和敲打各类复杂的命令。
因此,了解AI和学习 AI 技术对于安全从业者来说同样是非常有必要的。
三、作为一个安全人,如何不被 AI 浪潮所淹没呢?
首先,我们需要保持学习,积极思考。在这个信息爆炸的时代,学习已经成为了一种生活方式。我们需要不断地学习新的知识,提高自己的技能,以应对不断变化的威胁。在大模型时代下,对任何类别知识的学习门槛也更低了,比如对于学习本身这件事,我们可以让AI教我们如何用费曼学习法去学习安全知识。(费曼学习法是一种学习和概念理解的方法,它由物理学家理查德·费曼提出。该方法要求将复杂的概念或主题简化,并用自己的话语解释给别人听,以确保自己真正理解了所学内容。通过尝试教授他人,人们能够发现他们在理解上的不足之处,并深入思考和学习。费曼学习法强调对知识进行归纳总结和表达的重要性,以加深理解并发现自身的盲点。)比如大概的Prompt思路如下:
1、提出自己的学习需求,让AI给出大体思路 提示词:我现在想学习网络安全知识,请问如何用费曼学习法来做到这件事情。 2、具体到某个知识点的学习 提示词:我现在想系统性的把Owasp Top 10 漏洞的原理学习到位,请你结合费曼学习法来帮我制定学习计划和指导流程 3、开始让AI参与进来辅导学习 可以针对AI回答的思路,挑一些点,分别具体学习 提示词:比如如果想深入学习SQL注入漏洞,可以对AI说,您作为网络安全专家,请继续给我详细说明一下SQL注入的漏洞的原理、常见测试方法、修复方式,重点讲解一些预编译的修复原理。 4、教授他人 费曼学习法的一个重点是通过教授他人来掌握新知识,这里可以让AI给出一些建议和指导。 提示词:请你作为一名网络安全专家,指导我一下应该如何模拟向别人教授SQL注入漏洞。用简单的语言和实际例子解释漏洞的原理、测试方法和修复方式。 具体效果可自行尝试,看看AI会给你怎样的回答~ |
同时,我们也需要积极思考,AI的攻与防,“邪恶GPT”的峥嵘初现,我们又该如何将 AI 技术应用到安全领域,提高安全的防护能力?
另外,加入一家 AI 公司也可能是一种不被 AI 浪潮所淹没的解决方法。这样可以让我们更深入地了解 和接触到AI 技术,同时也有机会将 AI 技术应用到安全领域。此外,加入 AI 公司还可以让我们接触到更多的 AI 专家,与他们一起学习和交流,提高自己的 AI 技能,即使没有机会向他们学习,耳濡目染间,也可能先人一步了解AI的发展和动向。
四、小结
所以说,搞安全的学习 AI 并不是跨界,而是一种顺应时代发展的必然趋势。只有不断地学习,积极思考,才能在这个时代立足。最后抛一个畅想,AI时代的攻与防,是否会演变为AI与AI之间的对抗?届时,安全从业者又将扮演什么样的角色呢?
参考链接:
- https://paper.seebug.org/2085/
- https://www.sohu.com/a/722069367_355140
- https://mp.weixin.qq.com/s/6mhNTEJCO6XyNJXxyoRdVg
