人工智能成為了時下最熱門的科技概念,不論大小科技公司紛紛將人工智能元素加入旗下產品或未來發展計劃當中,姑勿論人工智能是否已發展到如此成熟,但無可否認在不少領域和應用項目已顯出其獨特優勢。近日就有初創公司利用其研發人工智能系統模仿人類行為,協助如 LinkedIn 等大型平台成功發現並修復潛在安全漏洞。
人工智能學習人類經驗 Cloud-AI 找出網站細微漏洞
機器視覺與人類視覺不同,面對網站和應用程式等圖形介面,人類可以透過形狀、顏色、符號和過往經驗判斷這些介面上哪些元素可以作點擊或輸入資料等互動行為,但機器視覺則不能。初創公司 CloudSek 就期望透過人工智能系統,學習人類判別可互動圖形介面元素的經驗,協助簡化網站和應用程式找出安全漏洞的過程,而 Cloud-AI 就是他們研發的人工智能系統。
CloudSek 團隊在官方博客上指出,測試和訓練 Cloud-AI 的過程主要針對現時網絡上常見的安全問題,例如在 Facebook 平台經常收到的安全問題回報就是 Insecure Direct Object Reference(不安全的物件參考)。所謂 Insecure Direct Object Reference,其主要的攻擊方式是攻擊者利用 Web 系統的檔案讀取功能,存取或盜取系統內的任意檔案或資料,其中一種常見的方式就是在網址列中插入特殊字串以獲取檔案內容,造成資料外洩的風險。
團隊提到,攻擊者很容易就能透過以往的經驗來發現並利用這些漏洞,而網站安全團隊要發現這些微細漏洞的最大挑戰,在於難以單靠自動程式作機械性的分析,而用人手進行測試則非常耗費時間,不懼效率。因此 CloudSek 就透過半監督的學習模式訓練 Cloud-AI,協助其學習人類的判斷經驗。
經過 14 個月的資料庫建立和機器學習後,Cloud-AI 能做到如人類般辨識及分類輸入欄位、按鍵和有細微錯誤的網址,而且可成功應用在各種網頁、流動網頁和應用程式上。而 CloudSek 亦利用 Cloud-AI 在 LinkedIn 上找出 10 個 Insecure Direct Object 的漏洞,並回報給 LinkedIn。CloudSek 團隊表示,這些漏洞若被利用可導致 LinkedIn 用戶的電郵、電話號碼和履歷外洩,刪除用戶的 LinkedIn 請求,以及下載 Lynda(LinkedIn 旗下的線上學習平台)的影片解說及需會員資格才能下載的練習文件。
資安領域人工智能發展起步 人機大戰局面會否重現?
當然,利用人工智能來保障網絡安全並非 CloudSek 首創,早於去年四月,麻省理工學院(MIT)團隊就針對資訊安全建立出一套機器學習系統,用於偵測網絡入侵攻擊,準確率更達 85%。該系統採用名為 AI2 的演算法系統,單是訓練其機器學習就提供了 30 億份相關資料供其分析,並花費 3 個月時間學習。
過程中,AI2 會判別網絡異常流量並提交給真人安全專家,專家給反饋給 AI2 是正確還是誤判,然後 AI2 便會根據答案不斷改善修正,隨著真人專家不斷回應結果,AI2 可利用其機器學習的優勢持續提升其準確率。而且作為智能系統,對比真人安全專家,AI2 兼具處理大量資料,及建立測試模型等優點,運算量、分析反應和時間等均更具優勢。
隨著人工智能的持續發展,可以預見未來在不同的領域均會有相應的智能系統協助,資訊安全無疑是其中一大重要領域。同時亦引人發想,以往黑客與資安專家在網絡安全領域上的角力,會否在未來某一天被 Alphago 般的人工智能打斷,重演去年「人機大戰」的局面?
Source: Cloudsek The Hacker News MIT