人工智能黑客时代来临：网络安全军备竞赛中的好坏势力较量

网络安全的未来本质上是一个数字版的“摇摆机器人游戏”，让进攻型和防御型的人工智能相互对抗——或者至少这是NBC关于行业如何看待人工智能的报道所给出的印象。

“在最近几个月，似乎所有类型的黑客——网络犯罪分子、间谍、研究人员和企业防御者——都开始在工作中使用人工智能工具，”报告说。“大型语言模型，如ChatGPT，仍然存在错误。但它们在处理语言指令和将普通语言转化为计算机代码，或识别和总结文档的能力变得非常强。”

NBC接着介绍了谷歌如何通过人工智能发现漏洞，CrowdStrike如何“利用人工智能帮助那些认为自己被黑客攻击的人”，以及一家名为Xbow的初创公司如何开发出一种人工智能，在6月“登上了HackerOne美国排行榜第一名”。（HackerOne后来将排行榜分为个人研究人员和像Xbow这样的‘集体’的单独追踪器。）

本月早些时候，我报道了CrowdStrike对北朝鲜特工如何利用生成性人工智能创建简历、社交媒体账户和其他材料的警告，这些材料用于欺骗西方科技公司雇佣他们，之后他们就开始使用人工智能工具与同事沟通、编写代码，同时在收取薪水的过程中维持一种正常的表象。

人工智能在这方面的实用性，尤其是用于总结文档的能力，已经得到了很好的验证。（或者至少比它独立进行复杂网络安全研究的能力要强；不过它在提炼事实方面仍然不是特别出色。）但现在就宣布人工智能黑客时代的到来似乎有些早，尤其是因为它通常被用作力量倍增器，而不是完全自动化的解决方案。

谷歌安全工程副总裁海瑟·阿德金斯告诉NBC，她没有看到任何人用人工智能发现什么新奇的东西，而且这“只是做我们已经会做的事情。”她还说“这将会有所进步”，但研究人员、公司和独立组织自1960年代以来一直在向我们保证，人工智能将“远远超越”其当前的限制，所以我们在这里的进展是漫长的。

Xbow在HackerOne排行榜上名列前茅，这一点也很有趣，但这也忽略了类似人工智能工具产生的“垃圾”数量，这些工具声称能帮助安全研究人员发现漏洞。开源curl项目的首席开发者丹尼尔·斯滕伯格反复感叹自己在人工智能发现的“漏洞”上浪费了不少时间。

“到目前为止，2025年的总体趋势是 比以往更多 的AI内容（约占所有提交的20%），因为我们每周平均提交约两份安全报告，”Stenberg在关于这个问题的最近的博客文章中说道。（强调是他的。）“在七月初，2025年约有5%的提交被发现是真正的漏洞。有效率相比往年 显著下降。”

Stenberg最近也进行了一个演讲，关于这个问题，值得一读他2024年的博客文章，里面讨论了这一现象。一个在超过200亿设备中使用的项目的首席开发者花了这么多时间来指出这个问题——更不用说实际去处理了。还有多少其他开源项目的维护者也面临类似的问题，却没有同样的关注呢？

因此，人工智能在社会工程攻击中证明了其价值，例如朝鲜技术人员计划，加快了谷歌研究人员发现漏洞的进程，并找到了操控HackerOne排行榜的办法。NBC还报道说，俄罗斯黑客已经开始在针对乌克兰的恶意软件中嵌入人工智能，以“自动搜索受害者计算机中的敏感文件并发送回莫斯科。”

但人工智能并没有发现很多有趣的漏洞，它向开源项目发送了大量无关的报告，我们也不知道为俄罗斯查找敏感文件的人工智能是否产生了有价值的情报。（尤其是如果人工智能被要求总结这些泄露的文件，然后因为不想让它的虚拟家庭被送往古拉格而编造出一些有价值的情报。）

这足以宣告人工智能黑客时代的来临吗，还是仅仅是全球最大科技公司和风险投资界的投资趋势，以及这两者所宣称的未来产业之间的地缘政治冲突，导致了对人工智能兴趣的更广泛副作用？