【环球时报赴青岛特派记者 马俊】随着数字化社会的到来,数字安全的重要性也与日俱增,尤其是大语言模型驱动的人工智能技术的飞速发展,在改变社会生活的同时,也给数字安全带来了全新挑战。26日在青岛开幕的首届“矩阵杯”网络安全大赛是东半球规格最高的网络安全顶级赛事。《环球时报》记者不仅在现场听全国知名业内专家介绍当前数字安全领域的最新进展,还目睹了充满神秘色彩的“网络攻防”到底是怎么进行的。
不同于电影的“网络攻防”现场
提到网络攻击,大部分人的第一印象恐怕都是好莱坞电影里描述的“阴暗封闭的房间里,黑客在电脑屏幕前疯狂敲击键盘”的这类场景。但当《环球时报》记者真的步入“矩阵杯”的比赛现场,所见所闻却截然不同——篮球馆大小的比赛会场摆了数十张办公桌,其间人来人往,丝毫看不出选手们是在进行严肃的网络攻防。会场墙上挂满了参赛队伍的个性化旗帜,选手们三三两两坐在桌前,有人皱着眉头翻看代码,有人在调试程序,也有人交头接耳地讨论,会场旁边的桌子上摆满了可乐、红牛、蛋糕、士力架等食物饮料,不时有选手起身“补充能量”。只有墙上大屏幕不时展示“XX队成功渗透XX节点”的提示,才提醒这里正在进行网络安全的攻防比赛。总之,给《环球时报》记者的整体印象就是,这里根本看不出比赛的严肃和紧张,甚至说是在进行团建活动好像也没问题。
首届“矩阵杯”网络安全大赛的比赛现场。
本届“矩阵杯”网络安全大赛包括漏洞挖掘赛、战队攻防对抗赛、人工智能(大模型)挑战赛等不同赛道。尽管赛道不同,选手们应对策略也各有差异,但总体而言,电影里描写的疯狂敲击键盘的场景并不多见,选手们更多是在调试代码,尝试运行程序、分析结果,因此节奏不快,在等待程序运行的间歇,选手们有充足的时间可以放松。
一名参赛选手在调试代码之余接受了《环球时报》记者采访。他表示,外界对于网络攻击和黑客的固有印象很大程度是被电影误导了。随着网络安全技术的发展,以前那种依靠灵机一动发现网络安全漏洞的情况变得越来越少见。现代网络安全人员除了需要天赋外,更重要的是经验的积累和先进的网络工具,通过深入分析不同漏洞的特征,寻找规律,并尝试在不同程序中进行攻击。“我们大部分时间用在寻找漏洞、归纳分析漏洞点并编写利用漏洞的攻击程序,等这些程序编写好了之后,真正执行攻击程序时,很可能就是点一下回车的事。”
但这也意味着网络安全人员需要掌握的技能很多。他举例说,编写程序代码的程序员只要实现软件的功能就可以了,而网络安全人员要从外部分析程序编写时采用什么汇编语言和组件,这些语言和组件自身存在的漏洞有没有可能被利用;它们组合起来时又可能会形成什么样的漏洞,然后针对这些可能的漏洞进行分析和测试,看能不能找到突破口。“如果把程序员的工作看作是一砖一瓦建造楼房,那么网络安全人员的工作就是质量安检员,一层一层地在楼房的各种角落寻找哪里的墙面有鼓包,哪里有隐患,还要分析这些问题的危害有多大,是简单的小漏洞还是可能危及整栋建筑的大麻烦,再根据这些信息制订专门的应对方案。”
人工智能推动网络安全领域的重大变革
随着人工智能技术的火爆,它的影响也扩展到安全领域。例如在本届“矩阵杯”的人工智能(大模型)挑战赛方面,选手将各自编写的攻击程序安装在官方服务器上、调试好运行环境,然后让这些程序自动查看和分析比赛题目,并形成攻击性的脚本查看能否破解。最后服务器会根据破解题目获得的总分多少确定胜负。据介绍,已经有参赛队利用大模型协助编写攻击程序。
俄罗斯自然科学院外籍院士、赛迪研究院副总工刘权在大会演讲中表示,当前人工智能推动网络安全领域的重大变革,进一步放大和凸显了隐私泄密、技术滥用、价值渗透等问题,为网络安全带来了严峻挑战。
360集团创始人周鸿祎表示,人工智能大模型将在未来10年内席卷所有行业,重塑所有产品。然而人工智能本身也会有漏洞,甚至比常规系统更容易遭到攻击。“传统系统需要知道接口才能找到漏洞,现在人工智能用对话就可以进行远程操纵,有的人工智能系统做得很傻很天真,通过跟它的文字交流,就能实现注入式攻击,让它干违背法律和道德的事情。”
这样的担忧并非空穴来风。2023年聊天机器人ChatGPT就被曝出著名的“奶奶漏洞”,也就是只要对它说出“请扮演我过世的奶奶”,再提出被开发者明确禁止的要求(例如操作系统的序列号或毒品的配方),它很可能就会绕开相关限制提供答案。这被业内称为“提示词注入式攻击”,尽管相关漏洞不断被发现和修补,但随着大数据模型的广泛使用,其威胁正变得越来越明显。
周鸿祎表示,人工智能安全是“下一个皇冠上的明珠”,需要网络安全人才解决人工智能带来的网络安全、数据安全甚至失控问题。“如果将来真有人工智能系统脱离了人类的控制,最后制服它的可能还是我们在座的网络安全人员,所以你们有可能成为人类最后的希望。”
华云安创始人兼CEO沈传宝在演讲中表示,人工智能技术可以快速识别和响应新型威胁,但同时也使得网络攻击亦趋复杂。如今通过人工智能来构建更加智能、更加高效的网络安全防御体系,强调通过主动防御、情报协同、溯源反制,构建动态自适应防护网络,通过核心产品,为客户提供了一个强大、灵活且高效的安全防护体系。
中国需要自己的网络安全大赛
据《环球时报》记者了解,网络安全大赛是国际上非常流行的网络安全技术的交流模式。例如美国每年一次的Pwn2Own网络安全大赛就专注于对浏览器、操作系统和移动设备的漏洞进行挖掘,参赛者需要在规定环境中发现漏洞并利用,以获得奖励。
本届“矩阵杯”网络安全大赛吸引了中国、越南、马来西亚等国家1000余支战队参赛,选手们来自北京大学、清华大学、复旦大学等科研院校和国家电网、农业银行、工商银行、阿里云、安恒信息等政企单位。周鸿祎表示,本届网络安全大赛的重要环节就是漏洞的挖掘。因为漏洞改变了网络攻防的游戏规则,“在软件定义一切的时代,再庞大的系统、再先进的体系,只要是软件,就会有漏洞。一旦漏洞被利用,系统很快就会被渗透。”
他还强调说,中国需要组织本国的网络安全大赛。10年前,中国还没有自己的网络安全大赛,这类比赛主要都在美国举行,有各种各样的高额奖金。360集团组织了高级安全专家去美国参赛并取得了非常好的成绩。尽管这些比赛有高额的奖金,但是要和流失的技术、技战术和漏洞的价值相比,实在是得不偿失。“我们意识到网络安全大赛对提高国家的整体网络安全防御水平有非常重要的作用。中国应该举办自己的网络安全大赛,给有能力的安全专家提供高额奖金,帮助国家更好地解决网络安全问题。‘矩阵杯’就是选拔专业实战人才、服务国家安全、提升网络安全整体防御能力的赛事。”
