
資安研究員Philippe Caturegli指出,人工智慧正全面改變網路安全攻防,讓倫理駭客更有效率地找出漏洞,卻也降低了惡意攻擊者的技術門檻。他建議企業應採取「假定遭入侵」的思維,並利用如蜜罐等低成本工具,強化對抗新型威脅的偵測與應變能力。
資深資安研究員暨倫理駭客Philippe Caturegli表示,人工智慧(AI)正全面重塑網路安全攻防樣貌,不僅讓資安專家能更有效率地找出潛在漏洞,也大幅降低了惡意攻擊者的技術門檻。他建議企業應重新審視資安策略,採取「假定遭入侵」的思維來應對新型威脅。
Philippe Caturegli曾與凱文·米特尼克(Kevin Mitnick)、布萊恩·克雷布斯(Brian Krebs)等資安專家合作,他指出,儘管Anthropic開發的Mythos和Fable等AI模型功能強大,但市場上對AI的許多炒作仍受行銷驅動。然而,AI工具確實賦予滲透測試(penetration testing,模擬駭客攻擊以找出系統弱點)人員更強大的能力,能以更少資源完成更多任務,快速發掘以往需耗費數週甚至數月才能找到的隱蔽漏洞。
他分享自身經驗,團隊曾對客戶系統進行四年滲透測試,即便取得原始碼,仍錯失一個關鍵漏洞。然而,藉助AI,Caturegli在應用程式碼中發現了之前被忽略的漏洞,該漏洞利用PHP語言中寬鬆的比較運算子(==而非===),導致輸入任何密碼都能繞過所有使用者的身份驗證。這項發現證明AI在分析數百萬行程式碼時,能有效進行排序與搜尋,協助人類測試人員專注於潛在威脅,而非繁雜資訊。
然而,AI並非萬能,它需要明確的指示才能有效找出漏洞,單純靠AI自行尋找的可靠性並不高。Caturegli也坦言,AI正加劇網路安全的脆弱性,使惡意行為者更容易利用未修補的漏洞,降低了駭客攻擊的進入門檻。他舉例,透過AI的協助,他僅花一小時便學會逆向工程,這通常需要數年時間。這意味著威脅行為者不再需要廣泛的經驗或學位,只需向AI尋求協助即可。
儘管AI對攻擊與防禦雙方都帶來能力加速,如資安營運中心(SOC,Security Operations Centers)可利用AI處理更多資料,但AI驅動的滲透測試仍可被辨識,因為它們會產生系統性錯誤與模式,不同於人類的直覺。Caturegli認為,人類滲透測試人員與AI工具結合,才是「最具殺傷力」的策略。他也提及,目前AI模型的Token(處理資訊的基本單位)成本與訂閱費雖受創投(VC)補貼,一旦未來需支付真實價格,AI的廣泛應用可能受限,迫使技術應用更為專業化。
面對AI時代的資安挑戰,Caturegli建議企業應採行「假定遭入侵」(assume breach)的思維,即承認防禦邊界可能已被突破。這代表資安重心應放在偵測與驅逐威脅,確保在威脅者竊取關鍵資料或造成損害前,將其逐出系統。他指出,傳統的修補管理長期而言效果不彰,而部署如蜜罐(honeypot,一個誘捕駭客的虛擬系統)這類成本低廉的解決方案,能作為有效的早期入侵指標,且幾乎沒有誤報。相較於資安營運中心(SOC)可能面臨的大量警報,蜜罐提供的高可靠性警示,能促使資安團隊迅速採取行動。Caturegli強調,企業不應抱持僥倖心態,因資安入侵幾乎是不可避免的。
