间谍出身的初创公司CEO:“AI版的WannaCry必将发生”
“在我的前世,开发一个出色的零日漏洞需要360天,”Zafran Security的首席执行官Sanaz Yashar说道。
她指的是她在以色列国防军精锐网络部队——第8200部队——担任间谍(她更偏好“黑客架构师”这个称呼)的15年经历。 “如今,数量和速度变化如此之大,以至于我们首次出现了负的‘漏洞利用时间’(TTE),这意味着在漏洞被修补之前,看到它们被利用、被武器化所需的时间不到一天,”Yashar向媒体表示。“这是过去从未见过的情况。”
原因在于:AI。这项技术并非在完全脱离人类干预的情况下帮助犯罪分子开发全新的或更复杂的攻击链。但“AI正在帮助威胁行为者做得更多、更快,” Yashar说——而这“更多”和“更快”正是她所担心的。
Yashar青少年时期从德黑兰移居以色列。当她在特拉维夫大学担任研究助理时,以色列军事情报部队招募了她。 2022年,Yashar联合创立了Zafran,该公司利用AI帮助企业映射和管理其面临的网络威胁暴露面。但在领导自己的安全初创公司之前,她曾在Cybereason领导威胁情报工作,并曾在某中心事件响应和威胁情报业务Mandiant担任经理。
她引用了Mandiant近期的一项分析,该分析发现2024年的平均“漏洞利用时间”达到了-1。这是该中心定义攻击者在厂商发布补丁之前或之后利用漏洞平均所需天数的指标,这也是安全分析师首次看到负的TTE。犯罪分子现在能在漏洞被修补的前一天就加以利用。 “而且我们看到78%的漏洞被LLM和AI武器化了,” Yashar说。
除了攻击者利用AI提高入侵的速度和效率外,组织对同一技术的日益广泛使用(在某些情况下,只是简单地将AI塞入每一个产品和流程)也扩大了攻击面。 这包括攻击者通过提示注入等方式滥用企业AI系统,欺骗AI智能体绕过安全护栏来开发攻击链,或访问他们本不该接触的数据。 此外,AI系统和框架本身也存在软件漏洞。Yashar担心利用这些漏洞造成的“附带损害”,特别是如果它们落入“初级”黑客手中:例如Scattered Spider、ShinyHunters这类网络犯罪团伙,或刚开始开发或购买网络武器库、或正在试验智能体AI的政府。
“有时,那些不明白自己在做什么的人,比某机构、某机构、某机构、某机构、某机构更危险——后者明白如果事情出错会有什么后果,”她解释道。“即使他们做坏事,这也是一个他们理解的决定。” “新的威胁行为者将会利用这些漏洞,却不明白他们可能会让世界上一半的系统瘫痪,” Yashar说。“而附带损害将是我们无法预期、无法应对的。我确实认为,AI版的WannaCry尚未发生。但它必将发生。我不知道它会从哪里来,但它一定会发生。问题是,你将如何缓解风险——因为你无法彻底修复它——那么你将如何缓解自己的风险?” WannaCry发生在2017年5月,是全球规模最大的勒索软件攻击之一,影响了数十万台计算机,造成了据估计高达数亿乃至数十亿美元的难以估量的损失。
根据Yashar的说法,答案同样在于AI。并非巧合的是,Zafran开发了一个威胁暴露面管理平台,该平台利用AI来发现并修复可利用的漏洞,并进行主动威胁狩猎。 “我们进行安全防护的方式将彻底改变,”她说。“仅仅向你展示洞察的公司将不再足够。它们必须完成任务。而要完成任务,你需要使用智能体,即使结合人类情报。” AI智能体将调查威胁、进行优先级排序,并为组织制定缓解行动计划。“AI将根据你的风险偏好构建这些处置包,并且会有人来确保你希望根据你的风险偏好采取此行动,” Yashar说。 她补充道,在可预见的未来,人类仍将参与其中,因为“人类行为的变化比技术慢”,而且就目前而言,我们还没有准备好完全将控制权交给AI智能体。
