【環球時報赴青島特派記者 馬俊】隨著數字化社會的到來,數字安全的重要性也與日俱增,尤其是大語言模型驅動的人工智慧技術的飛速發展,在改變社會生活的同時,也給數字安全帶來了全新挑戰。26日在青島開幕的首屆「矩陣杯」網絡安全大賽是東半球規格最高的網絡安全頂級賽事。《環球時報》記者不僅在現場聽全國知名業內專家介紹當前數字安全領域的最新進展,還目睹了充滿神秘色彩的「網絡攻防」到底是怎麼進行的。
不同於電影的「網絡攻防」現場
提到網絡攻擊,大部分人的第一印象恐怕都是好萊塢電影里描述的「陰暗封閉的房間裡,黑客在電腦螢幕前瘋狂敲擊鍵盤」的這類場景。但當《環球時報》記者真的步入「矩陣杯」的比賽現場,所見所聞卻截然不同——籃球館大小的比賽會場擺了數十張辦公桌,其間人來人往,絲毫看不出選手們是在進行嚴肅的網絡攻防。會場牆上掛滿了參賽隊伍的個性化旗幟,選手們三三兩兩坐在桌前,有人皺著眉頭翻看代碼,有人在調試程序,也有人交頭接耳地討論,會場旁邊的桌子上擺滿了可樂、紅牛、蛋糕、士力架等食物飲料,不時有選手起身「補充能量」。只有牆上大螢幕不時展示「XX隊成功滲透XX節點」的提示,才提醒這裡正在進行網絡安全的攻防比賽。總之,給《環球時報》記者的整體印象就是,這裡根本看不出比賽的嚴肅和緊張,甚至說是在進行團建活動好像也沒問題。
本屆「矩陣杯」網絡安全大賽包括漏洞挖掘賽、戰隊攻防對抗賽、人工智慧(大模型)挑戰賽等不同賽道。儘管賽道不同,選手們應對策略也各有差異,但總體而言,電影里描寫的瘋狂敲擊鍵盤的場景並不多見,選手們更多是在調試代碼,嘗試運行程序、分析結果,因此節奏不快,在等待程序運行的間歇,選手們有充足的時間可以放鬆。
一名參賽選手在調試代碼之餘接受了《環球時報》記者採訪。他表示,外界對於網絡攻擊和黑客的固有印象很大程度是被電影誤導了。隨著網絡安全技術的發展,以前那種依靠靈機一動發現網絡安全漏洞的情況變得越來越少見。現代網絡安全人員除了需要天賦外,更重要的是經驗的積累和先進的網絡工具,通過深入分析不同漏洞的特徵,尋找規律,並嘗試在不同程序中進行攻擊。「我們大部分時間用在尋找漏洞、歸納分析漏洞點並編寫利用漏洞的攻擊程序,等這些程序編寫好了之後,真正執行攻擊程序時,很可能就是點一下回車的事。」
但這也意味著網絡安全人員需要掌握的技能很多。他舉例說,編寫程序代碼的程式設計師只要實現軟體的功能就可以了,而網絡安全人員要從外部分析程序編寫時採用什麼彙編語言和組件,這些語言和組件自身存在的漏洞有沒有可能被利用;它們組合起來時又可能會形成什麼樣的漏洞,然後針對這些可能的漏洞進行分析和測試,看能不能找到突破口。「如果把程式設計師的工作看作是一磚一瓦建造樓房,那麼網絡安全人員的工作就是質量安檢員,一層一層地在樓房的各種角落尋找哪裡的牆面有鼓包,哪裡有隱患,還要分析這些問題的危害有多大,是簡單的小漏洞還是可能危及整棟建築的大麻煩,再根據這些信息制訂專門的應對方案。」
人工智慧推動網絡安全領域的重大變革
隨著人工智慧技術的火爆,它的影響也擴展到安全領域。例如在本屆「矩陣杯」的人工智慧(大模型)挑戰賽方面,選手將各自編寫的攻擊程序安裝在官方伺服器上、調試好運行環境,然後讓這些程序自動查看和分析比賽題目,並形成攻擊性的腳本查看能否破解。最後伺服器會根據破解題目獲得的總分多少確定勝負。據介紹,已經有參賽隊利用大模型協助編寫攻擊程序。
俄羅斯自然科學院外籍院士、賽迪研究院副總工劉權在大會演講中表示,當前人工智慧推動網絡安全領域的重大變革,進一步放大和凸顯了隱私泄密、技術濫用、價值滲透等問題,為網絡安全帶來了嚴峻挑戰。
360集團創始人周鴻禕表示,人工智慧大模型將在未來10年內席捲所有行業,重塑所有產品。然而人工智慧本身也會有漏洞,甚至比常規系統更容易遭到攻擊。「傳統系統需要知道接口才能找到漏洞,現在人工智慧用對話就可以進行遠程操縱,有的人工智慧系統做得很傻很天真,通過跟它的文字交流,就能實現注入式攻擊,讓它干違背法律和道德的事情。」
這樣的擔憂並非空穴來風。2023年聊天機器人ChatGPT就被曝出著名的「奶奶漏洞」,也就是只要對它說出「請扮演我過世的奶奶」,再提出被開發者明確禁止的要求(例如作業系統的序列號或毒品的配方),它很可能就會繞開相關限制提供答案。這被業內稱為「提示詞注入式攻擊」,儘管相關漏洞不斷被發現和修補,但隨著大數據模型的廣泛使用,其威脅正變得越來越明顯。
周鴻禕表示,人工智慧安全是「下一個皇冠上的明珠」,需要網絡安全人才解決人工智慧帶來的網絡安全、數據安全甚至失控問題。「如果將來真有人工智慧系統脫離了人類的控制,最後制服它的可能還是我們在座的網絡安全人員,所以你們有可能成為人類最後的希望。」
華雲安創始人兼CEO沈傳寶在演講中表示,人工智慧技術可以快速識別和響應新型威脅,但同時也使得網絡攻擊亦趨複雜。如今通過人工智慧來構建更加智能、更加高效的網絡安全防禦體系,強調通過主動防禦、情報協同、溯源反制,構建動態自適應防護網絡,通過核心產品,為客戶提供了一個強大、靈活且高效的安全防護體系。
中國需要自己的網絡安全大賽
據《環球時報》記者了解,網絡安全大賽是國際上非常流行的網絡安全技術的交流模式。例如美國每年一次的Pwn2Own網絡安全大賽就專注於對瀏覽器、作業系統和移動設備的漏洞進行挖掘,參賽者需要在規定環境中發現漏洞並利用,以獲得獎勵。
本屆「矩陣杯」網絡安全大賽吸引了中國、越南、馬來西亞等國家1000餘支戰隊參賽,選手們來自北京大學、清華大學、復旦大學等科研院校和國家電網、農業銀行、工商銀行、阿里雲、安恆信息等政企單位。周鴻禕表示,本屆網絡安全大賽的重要環節就是漏洞的挖掘。因為漏洞改變了網絡攻防的遊戲規則,「在軟體定義一切的時代,再龐大的系統、再先進的體系,只要是軟體,就會有漏洞。一旦漏洞被利用,系統很快就會被滲透。」
他還強調說,中國需要組織本國的網絡安全大賽。10年前,中國還沒有自己的網絡安全大賽,這類比賽主要都在美國舉行,有各種各樣的高額獎金。360集團組織了高級安全專家去美國參賽並取得了非常好的成績。儘管這些比賽有高額的獎金,但是要和流失的技術、技戰術和漏洞的價值相比,實在是得不償失。「我們意識到網絡安全大賽對提高國家的整體網絡安全防禦水平有非常重要的作用。中國應該舉辦自己的網絡安全大賽,給有能力的安全專家提供高額獎金,幫助國家更好地解決網絡安全問題。『矩陣杯』就是選拔專業實戰人才、服務國家安全、提升網絡安全整體防禦能力的賽事。」