人工智慧
AI Pulse:Siri 攜手 OpenAI、深偽 (Deepfake)奧運詐騙以及其他
AI Pulse 是趨勢科技全新的部落格系列,專門探討 AI 網路資安的最新脈動。本篇內容:Siri 攜手 OpenAI、詐騙成為 AI 網路犯罪焦點,以及為何巴黎奧運可能成為深偽 (Deepfake) 詐騙的溫床。
憑著趨勢科技在機器學習與 AI 領域 20 多年的經驗,AI Pulse 將探討 AI 網路資安的最新脈動與新興趨勢。本篇是該系列的第一篇,我們將整理出最近發生的一些重磅新聞、討論 AI 詐騙的問題,並探索即將登場的巴黎奧運將被哪些網路犯罪風險所環伺。
歡迎來到 AI Pulse – AI 網路資安脈動部落格
人工智慧 (AI) 至今早已存在數十年之久,但 2022 年底推出的 ChatGPT,無疑象徵了 AI 宇宙的「大爆炸」。但儘管爆炸威力驚人,目前我們仍處在起跑點上,未來還有更多事情等待發生,而且大部分都將對網路資安造成某種影響。
趨勢科技在機器學習與 AI 領域已深耕超過 20 年,我們內部早已習慣不斷預測 AI 對網路資安可能帶來的意義,不論是作為一種防禦性工具,或是一股毀滅性力量。AI Pulse 這個系列是我們分享自身觀點並提出未來洞察的一個管道。
在這一篇文章當中,我們檢視了最近一些可能拉近 AI 未來的消息、探索日益嚴重的 AI 詐騙問題,並提出幾個原因來說明為何 2024 巴黎奧運有可能成為深偽 (Deepfake) 詐騙成熟的時機。希望未來能不斷帶給大家有關 AI 網路資安的更多消息。
祝您一切順心!
趨勢科技 AI 團隊
AI 網路資安最新消息
Siri 攜手 OpenAI
AI 之所以會日益成為網路資安團隊的一項隱憂,有部分原因就在於 AI 無所不在。當 AI 部署的平台與裝置越多,就會衍生出越多安全與隱私權的問題。Apple 宣布將整合 OpenAI 的 ChatGPT 到 iOS、iPadOS 和 macOS 系統當中,此舉將大幅拓展 AI 的足跡。在「Apple Intelligence」的統稱之下 (Apple 很聰明地想出了一個專屬於 Apple 的 AI 品牌),新功能將具備對影像與文件的理解,同時強化 Siri 回答問題的能力。此外,還會追蹤大量的行為資料,讓裝置變得更加個人化,反應也更快。然而並非每個人都認為 Apple 對此舉所帶來的資安意義已經做了充分的考量,例如 Elon Musk (伊隆‧馬斯克) 就是其中之一,他揚言若 Apple 真的整合了 ChatGPT,他將在公司內禁用 Apple 裝置。
更聰明的 AI 大型其道
迄今為止,大型語言模型(LLMs)惡名昭彰(有時甚至可笑)的不穩定性,限制了 AI 在潛在應用與誤用的可能性。但隨著檢索增強生成 (Retrieval-Augmented Generation,簡稱 RAG) 與 AI 微調 (fine-tuning) 技巧的導入,情況也開始改觀。RAG 可讓 LLM 存取可信賴的最新資訊來源,這樣就能提高輸出結果的精準度;至於微調,則可針對特定工作或主題來訓練 AI 工具。兩者都突顯出要讓生成式 AI 變得更加聰明,資料將扮演關鍵的角色。這場將 AI 應用程式與豐富、相關、可信賴的「黃金資料」串聯的競賽已經開跑,連帶地也讓這類資料的價值水漲船高。Microsoft、Apple 和 Google 都全力在將 RAG 與微調融入他們的技術當中。無庸置疑地,駭客集團也將試著從中受益,包括其背後的資料在內,因為這些是針對性高報酬詐騙不可或缺的要素。
將概念轉成畫面
中國快手科技 (Kuaishou Technology) 超越 OpenAI,即將在 6 月推出一個將文字轉成影片的產生器,叫作「Kling AI」(可靈 AI),硬是擠下競爭對手的 SORA 平台。這兩家公司讓 AI 生成影像革命性地邁入了「寫實全動態媒體」(photorealistic full-motion media) 的境界,但卻也加深了人們對深偽日益氾濫的憂心。隨著虛擬與真實的界線越來越模糊,「世界 AI 創作者大獎」(World AI Creator Awards) 正在舉辦一場「Miss AI」數位虛擬人物選美大賽。
AI 威脅趨勢
電影《天外魔花》(Invasion of the Body Snatchers) 的劇情正在上演
對網路駭客集團來說,詐騙可說是一種暴利的行業,投資詐騙與變臉詐騙 (BEC) 所獲得的報酬,是使用勒索病毒攻擊家喻戶曉品牌的數百倍。儘管 AI 今日所扮演的角色相對上仍微不足道,但這樣的情況正在迅速改變。開放原始碼的語音及影像產生器,正因為深偽的發展而不斷改良,同時,LLM 平台也讓攻擊可以輕易地擴大規模。
所以,變臉詐騙 (BEC) 攻擊現在正迅速轉型成「變聲詐騙」(BVC) 攻擊,也就是使用 AI 語音產生器來冒充企業高階主管的聲音,用來進行金融匯款授權。今年 5 月,全球廣告龍頭 WWP 的執行長就遇到一樁轟動媒體的詐騙,該詐騙在 WhatsApp 上冒用該執行長的相片並模仿其聲音。更早之前 (4 月),羅馬尼亞的能源部長被人假冒拍攝了一段深偽影片,宣傳一個實際上不存在的投資平台。
一步步引導受害者進入屠宰場
另一種未來可能獲得 AI 加持的詐騙就是所謂的「殺豬盤」(這名字聽起來很詭異,端看您對豬的感覺如何)。殺豬盤的手法主要是透過線上聊天先跟受害者變成好網友,然後慢慢培養感情來取得對方信任,最後再說服受害者將數千美元投入一些根本不存在的資在上。
生成式 AI 目前已經被用來改善傳統網路釣魚,假以時日,駭客集團必定也會將 AI 應用到殺豬盤,藉由自動生成的深偽虛擬人物來與受害者互動,進而節省人力,還能擴大規模。
讓影像產生器變成武器
除此之外,深偽也正逐漸變成勒索集團的工具,在中國,一個名為「Void Arachne」的駭客集團正在使用惡意的 Windows 安裝檔案來注入 AI 裸照產生器、語音與面貌生成技術,以及色情內容產生器到使用者的系統上,藉此從事性愛勒索和虛擬綁架攻擊。這類攻擊專門瞄準那些已經有興趣導入 AI 技術的使用者。
AI 網路資安的下一步
深偽(deepfake)奧運詐騙
大型活動向來是詐騙集團尋找下手目標最有利的時機,因為人們不得不從一些不熟悉的來源獲取資訊。2024 巴黎奧林匹克運動會勢必成為第一個出現大規模 AI 詐騙的大型賽事,例如,俄羅斯一個專門散播假消息的集團就製作了一段假冒 CIA 的影片,該影片警告美國人不要搭乘巴黎地鐵,因為有可能遭到恐怖攻擊。
今年 7 月下旬至 8 月上旬,預計將有 1,500 萬人左右造訪這個「光之城市」(City of Lights),屆時大批的遊客將在路上尋找交通工具、飯店以及其他設施。此時各式各樣的不肖應用程式、惡意連結、網路釣魚及釣魚簡訊將紛紛出籠,為的就是要騙取人們的個人資訊和信用卡資料。
真正的贏家請起立
原本在其他領域用來「影響運作」的深偽技術,此時也可能被用來破壞奧運賽事。假新聞可能故意謊報某場比賽的優勝者。駭客可能利用深偽語音來中傷某個教練、球員、隊伍或裁判,從他們口中說出一些爭議性的話。也可能利用深偽照片或影片來抹黑某位運動員,使他無法出賽。駭客也可能利用 AI 生成的內容來破壞和諧,奧運正好提供了一個偌大的平台來製造社會對立。
被下毒的 AI 資料也會帶來危險,將一些偏差的資料注入訓練程序當中,就可讓 AI 模型更容易被駭客所利用。美國新聞網站 Axios 最近發現,幾乎全世界主流的聊天機器人都在重複俄羅斯的宣傳,經常引述一些當地的假新聞網站作為資訊來源。
該如何防範?
一個大原則就是,粉絲們要隨時保持戒心:網路上看到的任何東西都別輕易相信。先從信任的網站取得資訊,然後再針對閱讀到的內容搜尋更多資訊。小心,假訊息也可能被散播到您信任的網站上。所有連結和應用程式在開啟前都要先檢查其背後的超連結,切勿張貼任何有可能損害名譽的內容。
同時,也請好好保護您的所有裝置:手機、電腦,以及任何可能連結到個人身分的東西。這適用於您接收資訊的每一種管道,包括:簡訊、電子郵件、生產力應用程式等等。
詐騙集團也會試著利用人們的疑惑和脆弱。在 AI 網路資安領域,最好的防禦就是提高警覺,不論是要保護個人資料、或是保護個人身分,都應採取零信任的態度。
更多有關 AI 網路資安的資訊
請參閱以下其他文章:
- [AI PC 時代如何保護 AI 模型以防止遭到惡意篡改]
- [惡意 AI 工具相關廣告散播 Redline 資訊竊取程式]
- [回顧 AI 風潮 - 網路駭客使用生成式 AI 的最新發展]