报告称“AI 黑客时代已到来”

未来网络安全的发展本质上就像一场数字版的“摇滚小子机器人”比赛，将具有进攻性和防御性的 AI 相互对抗——至少这是 NBC 报道称该行业对 AI 的看法。

“在最近几个月里，各种类型的黑客——包括网络犯罪分子、间谍、研究人员和企业防御者——开始将 AI 工具纳入他们的工作，”该报告说。“像 ChatGPT 这样的 LLMs 仍然容易出错。但它们已经非常擅长处理语言指令，将普通语言翻译成计算机代码，或识别和总结文件。”

NBC 继续讲述了谷歌如何利用 AI 发现漏洞，如何 CrowdStrike 正在“使用 AI 帮助那些认为自己被黑的人”，以及一家名为 Xbow 的初创公司开发了一种 AI，在 6 月份成功“登顶 HackerOne 美国排行榜”。（HackerOne 后来将其排行榜分为单独的追踪器，用于个人研究人员和像 Xbow 这样的“集体”。）

上个月我报道了 CrowdStrike 关于朝鲜特工正在使用生成式 AI 来创建简历、社交媒体账户和其他材料，以欺骗西方科技公司雇佣他们，一旦被雇佣，他们会转而使用 AI 工具与同事沟通、编写代码，并维持正常的外表，同时领取工资。 正在使用生成式 AI

AI 在这方面（以及用于总结文档）的效用已经得到了很好的确立。（或者说，至少比它自己进行复杂的网络安全研究的能力要确立得多；它仍然不太擅长提炼事实 。）但似乎为时过早地宣布 AI 黑客时代的到来，尤其是由于它通常被用作一个乘数而不是一个完全自动化的解决方案。

谷歌安全工程副总裁海瑟尔·阿德金斯告诉 NBC ，她还没有“看到任何人发现什么新颖的东西”，而且它“只是做我们已知的事情。”她还表示“将会进步”，但研究人员、公司和独立组织自 1960 年代以来一直保证人工智能将“远远超越其当前限制”，所以我们在这里遵循一个长期的时间表。

Xbow 上升到 HackerOne 排行榜的顶端也很有趣，但它也忽略了类似 AI 工具产生的巨大“杂乱”。几乎每个依赖开源 curl 项目（该项目是几乎所有联网设备的基础）的领先开发者丹尼尔·斯滕伯格都反复抱怨他浪费在 AI 发现的“漏洞”上的时间。

到目前为止，2025 年的总体趋势是比以往任何时候都要多出很多人工智能垃圾（大约占所有提交内容的 20%），因为我们平均每周大约提交两份安全报告，”Stenberg 在一篇关于这个问题的最新博客文章中说道。（强调他的话）“在 7 月初，2025 年大约有 5%的提交内容被证实是真实漏洞。与往年相比，有效率显著下降显著 。”

斯滕伯格最近也对此问题发表了一次演讲，值得一读他关于这一现象的 2024 年博客文章 。一个用于超过 20 亿设备的项目的主要开发者正花费如此多的时间来公开呼吁——更不用说实际处理——这个问题了。还有多少其他开源项目维护者正被类似的问题所淹没，但却没有同样的关注度？

人工智能在诸如朝鲜技术工人计划等社会工程攻击中已被证明是有用的，加快了谷歌研究人员发现漏洞的速度，并找到了操纵 HackerOne 排行榜的方法。NBC 也报道说，俄罗斯黑客已开始在针对乌克兰的恶意软件中嵌入人工智能，以“自动搜索受害者的计算机中的敏感文件并发送给莫斯科。”

但它自己并没有发现太多有趣的漏洞，它正用不相关的报告轰炸开源项目，而且我们不知道如果 AI 被用来为俄罗斯寻找敏感文件是否产生了有价值的情报。（尤其是如果后来被要求总结被盗文件，并且因为不想让它的虚拟家人被送往古拉格而编造了一些劲爆的情报。）

这足以宣告 AI 黑客时代的到来，还是仅仅是全球最大科技公司过度支出、风险投资领域的投资趋势以及前两个群体所宣称的未来产业的地缘政治冲突所推动的更广泛 AI 兴趣的另一个副作用？