安全进化的终极猜想— 以“AI之盾”对抗“AI之矛”

今年的“3.15晚会”给我最大的震撼就是AI机器人带来的负面问题,40亿骚扰电?#23433;?#20986;,每天播出5000个,一年拨出40亿个,设备日活跃量5000多台,在使用设备数量超过3万台,6亿多用户隐私泄露。。。。。。。

一、AI本无罪,怀璧其罪

AI机器人替代人工,永远保持礼貌从不生气且不知疲倦的声音,当之无愧成为骚扰电话的主力军。AI机器人替代人工拨打骚扰电话的方案已形成“AI拨打电话+AI躲避监管+AI收集个人隐私”的完整黑色产业链。当人们用AI的能力辅助做安全、实现工作效率倍数提升的同?#20445;珹I已成为?#35805;?#21452;刃剑。正如今年RSAC上,谷歌和Macfee都提到了AI技术应用带来的负面问题。

二、以“AI之盾?#20445;?#23545;抗“AI之矛”

本篇主要是想分享一下,如何更好地使用AI能力?#20174;?#23545;AI被恶意利用而产生的问题。如黑产中反欺诈、自动化分析、广告自动拦截、逆向验证客户端、自动化监控敏感信息、自动化屏蔽不良上网信息等。其实,我们看?#21073;?#20197;AI的能力去对抗AI,这或许是未来安全进化的终极方案。

利用休息时间,?#25910;?#24635;结了目前用AI对抗AI的四类应用方向:

第一类:AI反欺诈平台:

1、金融机构反欺诈平台;

2、网络安全保险自动化分析评估平台;

第二类:AI检测机器人:

1、在线和移动生态?#20302;场?#32593;站等广告自动拦截;

2、基于AI的社交媒体事件监控与品牌保护;

3、AI检测和对抗各类机器程序\机器人

第三类:AI内容发现与隐私保护

1、基于AI的网上浏览内容安全;

2、基于AI+生物识别+个人隐私保护;

第四类:AI攻击“闪电战”对抗

1、AI促使攻击自动化、缩短了攻击准备时间;

2、使用AI能力进行自动化编排和响应,提升防御效率。

三、以色列网安创企AI方向分析

1、Unbotify,AI检测机器人(2015年成立,今年1月底已经被移动监测和防欺诈公司Adjust收购)

官网:http://www.unbotify.com/

核心业务方向:机器人检测,可通过分析网站和移动应用用户流中的人类行为模?#21073;?#23545;真人与机器人进?#26143;?#20998;,进而防止数字欺诈活动的发生。利用机器学习和深度学习技术,Unbotify从设备方向(device orientation)、触摸事件(touch events)与压力灵敏度等项目数据中,提取出上百种特征进行检测分析,从而辨别出作弊机器人。此作法使营销商能够在不混淆合法人为流量的情况下,判定出欺诈性的机器人活动,进而确保应用发行商与真人受众间的互动。

收购方Adjust从事的领域:移动数据监测和防欺诈平台,为全球移动应用营销商提供高质量的分析、监测和防欺诈解决方案,从而帮助他们更精准、更快速地作出营销决策。

2、NsKnox ,AI金融反欺诈(2016年初成立,今年2月份完成1500万美元A轮融资,由微软M12风险基金和Viola Ventures领投)

核心业务方向:金融反欺诈平台。保护企业支付免受欺诈和数据操纵多种威胁。nsKnox的解决方案利用了公司所谓的合作网络安全(CCS),将?#29992;?#25216;术与来自多个组织的数据相结合。

3、ChameleonX?,AI在线反机器人广告(2015年成立,16年获190万美元种子轮资金,由TrueVentures领投)

官网:https://chameleonx.com/

核心业务方向:以机器学习的能力,保护在线和移动生态?#20302;?#20813;受广告注入、机器人?#25237;?#24847;广告的侵扰。

4、?D- ID,AI个人图像隐私保护(2017年成立,2018年1月完成400万美元种子轮融资,领投方为 Pitango Venture Capital)

官网:https://www.deidentification.co/

核心业务方向:反图片识别技术的公司,保护图像免受未经授权的自动面部识别?#20302;常?#26377;助于个人生物信息的隐私保护。深度学习解决方案融入名为“de-identification”的数据保护技术,可以生成算法无法辨识的照片和视频,但同时保持与真实人脸相?#30130;?#20197;保障个人隐私及身份信息不被面部识别技术恶意读取。

5、Cyabra — AI网络水军清洗器(2017年成立,种子轮融资金额不详)

核心业务方向:降低网络水军、假消息对消费品牌、政府的不利影响。Cyabra有多名创始人?#24615;?#20197;色列军方,以及商业智能公司的工作经历。Cyabra的定位在于保护客户免遭流氓大军的损失。通过每个账户的基本资料、照片、发文内容和文风?#20995;?#24687;,识别账户是虚假账户的可能性。另外,由于虚假账户经常跨平台发布相同/相似内容,Cyabra通过各种手?#20301;?#24471;真实的虚假账户库,基于不同社交平台账号的相似性,扩大虚假账户库。对于疑似或确诊的虚假账户,公司会为客户提供及早预?#23567;?#21450;早预警、下一步行为预测的服务。Cyabra有很强的网络爬虫能力、用户画像积累和语料情感分析技术,在自然语言处理技术上也在?#20013;?#29228;坡。网络舆情属于自然语言处理应用落地极难的领域,这是由于网络语言规范性相对弱。

6、Shieldren, AI保护儿童上网健康(2017年成立,种子轮融资金额不详)

核心业务方向:利用机器学习和深度学习,监控儿童上网浏览网页,保护儿童浏览健康网站不受侵害。

7、Cyberwrite,网络保险自动化评估平台(2016年成立,种子轮融资金额不详)

官网:https://cyberwrite.com/

核心业务方向:自动化评估网络保险金额,提供自动化评估平台及服务。

网络保险覆盖主要包含四大类:

1)?技术错误、失误(Errorsand Omissions)

例如IT企业的产品开发延期,产品集?#27801;?#29616;错误,由此造成的经济损失;

2)?版权、商标等知识产权(MediaLiability)

例如与其他企业发生了知识产权纠纷,需要法律方面的费用、赔偿等;

3)?网络、信息安全

例如企业存储的商业机密或用户数据泄露、数据丢失、病毒传播和?#36134;?#31561;造成的损失。

4)?隐私数据

同样都是数据层面的内容,隐私数据主要是指现实环境中的失误,如丢失存有敏感数据的?#22987;?#26412;,员工将带有客户信息?#22987;?#21457;错,诸如此类。

四、关于AI对抗AI的安全方向思考总结

1、AI能力成为对抗机器学习\机器人的核心能力;

2、使用AI对抗AI已成为安全从业者的认知必然;

3、网络保险自动化分析评估平台被安全创企看好;

4、AI在个人生物识别信息的隐私保护领域应用被看好;

5、使用AI保障儿童上网属于AI的创新应用领域;

6、AI在金融保险互联网平台领域的反欺诈和广告拦截应用广泛;

7、AI能力实现自动预警和响应?#23433;?#30053;编排,进而对抗AI自动化攻击;

五、终极猜想?#20309;?#26469;,安全的终极进化能力,是AI之间的对抗

尽管我们目前仅处于弱人工智能阶段,但是AI机器学习及自动化已经成为骇客手中的武器,安全的对抗因为大数据、人工智能的场景融合变得越来越复杂,安全专家的能力不应该被海量的安全大数据限?#30130;?#36890;过AI工具释放出来安全专家可以做更多有价值的工作。故,?#25910;?#19981;成熟的猜想:根据“二八法则?#20445;?#26410;来,AI工具将用20%的时间完成安全从业者80%的工作内容,而80%的安全专家将致力于剩余20%高级安全对抗工作中去。随着AI能力的不断进化,以“AI之盾”抵御“AI之盾?#20445;?#23558;会成为业界共识。

发表评论