Check Point在RSAC 2025发布的AI安全报告,披露多种正在暗网兴起的AI犯罪服务(Evil AI as a Service),其首席执行官Nadav Zafrir更进一步示警,随着AI代理程序(AI Agent)的兴起,有心人更有可能进一步发展出具备高度自主能力的AI黑客兵团,足以发动更个性化、更自动化、更即时性、更具威胁性的大规模攻击。
Zafrir提出一个结合生成式AI与AI代理程序,以窃取加密货币的新攻击场景。从攻击链流程来看,这个攻击场景的起手式与以往的攻击有一部分相同,都是先搜集被锁定对象的数据,例如从被公开的外流数据中寻找账号与密码,作为发动钓鱼邮件或入侵受害者计算机的初始机制;然而不同的是,新形态AI攻击还会再利用个人数据训练专属AI模型,创造出模拟受害者特征与行为模式的数字分身(Digital Twin)。
紧接着,攻击者会利用搜集到的账号密码等凭证资讯,入侵受害者的计算机或企业网络,一旦成功入侵,攻击者会持续潜伏,搜集更多受害者的数据,如电子邮件、视频会议、聊天资讯或是组织内部的数据,以持续训练优化AI模型。
一旦数字分身AI模型创建好了,攻击者就会据以发展能够模拟受害者行为的多种AI代理程序,并将这些AI恶意程序部署至受害者的计算机或网络,由它们自主操作攻击行动,进行横向移动攻击,例如伪冒受害者发送电子邮件或聊天消息、模拟其账户行为在内网侦察或移动,甚或操作加密货币转账等交易行为。
生成式AI与AI代理程序成为攻击者的新武器之后,将会对网络攻击带来根本性的改变。Zafrir指出,以往要做到上述的自动化攻击场景相当困难,除了需要投入大量资源,还要耗时长月甚至数年,这么长的准备时间很容易让防守方有足够的时间反应而功亏一溃。然而,现代AI恶意程序不再需要回传指令至C&C(Command & Control)后端控制中心,一旦防线被攻破,AI恶意程序将会自主运行,不需要依赖后端控制,攻击行动可能在几天内就能结束。
再者,这种攻击方式一旦创造出拟真的数字分身后,就可以利用伪造的数字分身进行恶意行为,而不再需要利用真实的受害者。因此,吊诡的是一旦伪造的数字分身产生了,如果没有被识别出来,即使受害者拥有正确的安全习惯与安全防护,即便所有安全防护系统都正常运行,也无济于事。
根据Check Point的AI安全报告评估,拜生成式AI技术之赐,文本、语音与视频的深伪仿冒已是随手可得的技术。如今文本与语音的自主对话互动已可由AI全盘操作,诸多钓鱼攻击已展现文本完全自动化与接近完美的语音。而在形象自主对话互动方面,目前要全靠AI完成还有难度,但谁能知道是否会在接下来的几个月或几年内发生呢?
Zafrir表示,上述攻击场景看似危言耸听,但这些攻击能力其实已经存在,而更令人忧心的是,AI代理程序一旦启动就会自主决策,如何终止其流程将是个挑战。面对基于AI技术的攻击,他认为防御端的AI必须具备与攻击等速的防御能力,因此未来的安全防护系统势必是要“AI原生”,才能即时反应与对抗。他认为借鉴生物的社交媒体与分形,创建复杂适应系统,可以分布式自主运行,避免单点故障,又可即时回应,以及持续学习与适应新的威胁,将会是一个可行的新方向。
