AI 讓資安誤報增加?AI 幻覺捏造的「不存在漏洞」正讓資安人員疲於應對
近年來,由大型語言模型(LLM)生成的低品質內容被稱為「AI 垃圾內容」(AI slop),這些內容不只充斥網站與社群媒體,也開始滲透資安領域。
《Tech Crunch》報導,過去一年由 AI 幻覺產生的錯誤漏洞報告為資安領域帶來新挑戰。資安公司 RunSybil 共同創辦人兼技術長 Vlad Ionescu 指出,這些 AI 生成的資安報告「聽起來合理,技術上正確」,然而當資安人員深入調查時,卻發現這些漏洞「根本不存在」,所有的技術細節都只是由 LLM 憑空捏造,儘管表面看起來像黃金,實際上都是垃圾。
資安領域開始充斥 AI 幻覺產生的漏洞報告
現在,AI 幻覺報告的影響已在現實世界顯現,例如非營利科技平台 Open Collective 就證實,他們的電子郵件信箱「充斥著 AI 垃圾」,最嚴重的案例是 GitHub 上 CycloneDX 專案的一位開源開發者,因收到幾乎全為 AI 幻覺產生的報告,近期已取消漏洞懸賞計畫。
面對 AI 垃圾逐漸充斥資安領域的挑戰,主要的漏洞懸賞平台與資安公司採取不同的應對策略。像是專門代管各種抓漏專案(bug bounty)的 HackerOne 也坦言已經遇到一些 AI 誤報漏洞的狀況,因此 HackerOne 於近期推出名為「Hai Triage 」的系統,希望結合人類專業與 AI 技術,提升漏洞管理和修復的效率。
Hai Triage 會利用 AI 代理先篩選漏洞報告、標記重複的文件,並優先處理那些被判定為真實的資安威脅。在 AI 代理完成初步的篩選後,資安分析師將介入,負責驗證這些報告的真實性。這些資安分析師在 Hai Triage 系統提供的大規模情境分析支援下,能夠快速且一致地驗證每個漏洞,從而提升整體資安計畫的效率。
以 AI 對抗 AI 幻覺
資安公司 RunSybil 共同創辦人兼技術長 Vlad Ionescu 認為,要解決 AI 幻覺產生的資安漏洞,應該要「繼續投資 AI 系統」,因為這些系統至少可以執行初步審查,並先篩選漏洞報告以確保準確性。
AI 幻覺產生的錯誤資安漏洞報告,對當前的資安生態系統構成極大威脅,不僅浪費寶貴資源,更嚴重影響漏洞懸賞計畫的效率,以及業界對報告的信任度。儘管資安業界正在積極探索並實施多種應對方案,但伴隨 AI 技術發展而來的利弊與攻防,無疑將是未來資安領域中持續且關鍵的挑戰。
*本文開放合作媒體轉載,資料來源:《Tech Crunch》,首圖來源:AI 工具生成。