人工智能的应用仍处于起步阶段，但我们已经看到了一个重大影响：黑客攻击的民主化。

Bugcrowd 年度报告《2023 年黑客内心深处》研究了 Bugcrowd 漏洞搜寻者群体所持的态度和使用的方法。今年的报告重点关注黑客对人工智能（AI）的影响和使用。

它还提供了有关恶意黑客如何利用人工智能的宝贵见解。目前，这主要围绕 LLM GPT 的使用，例如 ChatGPT。出现了许多“专业”GPT，但大多数情况下它们都是 GPT4 引擎的包装器。ChatGPT 仍然是黑客的主要工具。

72% 的 Bugcrowd 黑客不相信人工智能会复制他们人类的创造力。尽管如此，64% 的人已经在他们的黑客工作流程中使用人工智能，还有 30% 的人计划在未来这样做。Tanium 首席安全顾问蒂莫西·莫里斯 (Timothy Morris) 表示：“我完全同意大多数人的观点，即 [AI] 不会取代安全研究人员/黑客。” “黑客攻击需要技能（人工智能有这个能力），但也需要来自理解背景的创造力（人工智能没有这个能力）。虽然人工智能多年来可能会变得更好，但我不认为它是替代品。”

然而，正是人类创造力与人工智能工作流程支持的结合正在改变黑客的面貌——虽然这在道德黑客手中是件好事，但在恶意黑客手中却令人担忧。

该报告分析了 Bugcrowd 平台上黑客的大约 1000 份调查回复，报告显示，黑客已经在许多不同领域使用和探索人工智能的潜力。目前最常见的用例是自动化任务（50%）、分析数据（48%）、识别漏洞（36%）、验证结果（35%）、进行侦察（33%）、威胁分类（22%）、检测异常（22%）、风险优先级（22%）和培训模型（17%）。 

为了实现这些目标，黑客一直将人工智能视为他们工具集中的另一个工具。第一个要求是了解该工具，第二个要求是学习如何使用它。对于 ChatGPT，这可以分为两类：了解如何有效地利用其指定目的，以及学习如何在其他地方使其屈服于黑客的意愿。

前者主要用于快速、准确地生成报告和语言翻译。（恶意黑客正在使用相同的功能来进行引人注目的网络钓鱼活动。）

后者是利用提示工程来绕过 ChatGPT 的过滤器，这些过滤器旨在防止恶意或非法使用该工具。即时工程在概念上与社会工程类似——社会工程是说服用户做不应该做的事情的能力，而即时工程是说服人工智能做不应该做的事情的能力。

Ontinue 安全运营副总裁 Craig Jones 评论道：“精英黑客并不将人工智能视为一种威胁，而是一种增强他们能力、为他们提供竞争优势的工具。” “他们的观点证明了黑客和人工智能之间的共生关系，人工智能补充并增强了定义黑客专业知识的创造性解决问题的技能。”

Bugcrowd 的创始人兼首席技术官凯西·埃利斯 (Casey Ellis) 认为，我们应该在黑客历史的背景下看待人工智能的到来。黑客正在利用现有的资源——就像 20 年前 Metasploit 出现时所做的那样。它是为好的目的而设计的，但也被用来做坏事。“Metasploit 对猎人来说是一个福音，”他说，“但他们仍然必须了解如何使用它，并将自己的创造力应用到它的应用中。”

从那时起，黑客还采用了其他工具开发，但人工智能有一个根本区别。“提高黑客效率的技术对于外行来说并不一定那么容易理解，”他继续说道。“但有了 ChatGPT，每个人都在谈论它并使用它。” 人工智能同样适用于“还不是黑客”和非技术人员。

鉴于报告中的另一项发现——加入 Bugcrowd 的黑客越来越年轻，这一点可能变得更加重要。18 岁或以下的黑客数量比去年增加了一倍，其中 62% 年龄在 24 岁或以下。

埃利斯指出，当今年轻人对计算和安全的态度与前几代人不同。今天的年轻人是在科技的陪伴下长大的，而前几代人则必须学习科技。“当我了解黑客行为时，我非常关心技术和互联网的管道，”埃利斯说。“但是，这个 18 岁以下群体对互联网的体验已经被抽象化，以至于他们不一定意识到互联网的存在。他们不一定了解技术，但他们了解界面和业务逻辑，以及如何以我可能永远不会的方式利用系统和应用程序的设计。”

人工智能将能够比探索已编译应用程序中的编码缺陷更容易地探索业务逻辑。总体效果是，人工智能将为每个人提供速度、规模和效率，而不仅仅是传统的技术娴熟的黑客。人工智能为黑客和潜在黑客带来了民主化。

目前，大多数黑客都受到 ChatGPT 的限制，但我们应该意识到情况可能并非总是如此。ChatGPT 根据互联网内容进行训练，并通过提示从接收到的数据中进一步学习。想象一下，由敌对民族国家根据目标应用程序的源代码进行训练的 GPT 的黑客潜力，并且不是向普通公众而是从精英民族国家黑客的使用中学习。

Bugcrowd 的Inside the Mind of the Hacker展示了黑客采用新技术来协助他们进行狩猎和改进报告的速度和效率。目前，这已转化为规模——创造性地发现漏洞，并以指数级更快的速度进行武器化和利用。情况可能会变得更糟。>>>等级保护<<<开启等级保护之路：GB 17859网络安全等级保护上位标准网络安全等级保护：什么是等级保护？网络安全等级保护：等级保护工作从定级到备案网络安全等级保护：等级测评中的渗透测试应该如何做网络安全等级保护：等级保护测评过程及各方责任网络安全等级保护：政务计算机终端核心配置规范思维导图网络安全等级保护：信息技术服务过程一般要求网络安全等级保护：浅谈物理位置选择测评项闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载闲话等级保护：什么是网络安全等级保护工作的内涵？闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求闲话等级保护：测评师能力要求思维导图闲话等级保护：应急响应计划规范思维导图闲话等级保护：浅谈应急响应与保障闲话等级保护：如何做好网络总体安全规划闲话等级保护：如何做好网络安全设计与实施闲话等级保护：要做好网络安全运行与维护闲话等级保护：人员离岗管理的参考实践信息安全服务与信息系统生命周期的对应关系>>>工控安全<<<工业控制系统安全：信息安全防护指南工业控制系统安全：工控系统信息安全分级规范思维导图工业控制系统安全：DCS防护要求思维导图工业控制系统安全：DCS管理要求思维导图工业控制系统安全：DCS评估指南思维导图工业控制安全：工业控制系统风险评估实施指南思维导图工业控制系统安全：安全检查指南思维导图（内附下载链接）业控制系统安全：DCS风险与脆弱性检测要求思维导图>>>数据安全<<<数据治理和数据安全数据安全风险评估清单成功执行数据安全风险评估的3个步骤美国关键信息基础设施数据泄露的成本备份：网络和数据安全的最后一道防线数据安全：数据安全能力成熟度模型数据安全知识：什么是数据保护以及数据保护为何重要？信息安全技术：健康医疗数据安全指南思维导图金融数据安全：数据安全分级指南思维导图金融数据安全：数据生命周期安全规范思维导图>>>供应链安全<<<美国政府为客户发布软件供应链安全指南OpenSSF 采用微软内置的供应链安全框架供应链安全指南：了解组织为何应关注供应链网络安全供应链安全指南：确定组织中的关键参与者和评估风险供应链安全指南：了解关心的内容并确定其优先级供应链安全指南：为方法创建关键组件供应链安全指南：将方法整合到现有供应商合同中供应链安全指南：将方法应用于新的供应商关系供应链安全指南：建立基础，持续改进。思维导图：ICT供应链安全风险管理指南思维导图英国的供应链网络安全评估>>>其他<<<网络安全十大安全漏洞网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图网络安全等级保护：应急响应计划规范思维导图安全从组织内部人员开始VMware 发布9.8分高危漏洞补丁影响2022 年网络安全的五个故事2023年的4大网络风险以及如何应对网络安全知识：物流业的网络安全网络安全知识：什么是AAA（认证、授权和记账）？美国白宫发布国家网络安全战略开源代码带来的 10 大安全和运营风险不能放松警惕的勒索软件攻击10种防网络钓鱼攻击的方法5年后的IT职业可能会是什么样子？累不死的IT加班人：网络安全倦怠可以预防吗？网络风险评估是什么以及为什么需要美国关于乌克兰战争计划的秘密文件泄露五角大楼调查乌克兰绝密文件泄露事件湖南网安适用《数据安全法》对多个单位作出行政处罚如何减少制造攻击面的暴露来自不安全的经济、网络犯罪和内部威胁三重威胁2023 年OWASP Top 10 API 安全风险

全国网络安全等级测评与检测评估机构目录（6月6日更新）什么是渗透测试，能防止数据泄露吗？

SSH 与 Telnet 有何不同？