利用机器学习发起攻击的九种方式

机器学习和人工智能（AI）正成为一些威胁检测与响应工具的利用核心技术。其即时学习和自动适应网络威胁动态的机器能力令安全团队如虎添翼 。

然而 
，学习一些恶意黑客也会利用机器学习和AI扩大其网络攻击，发起方式规避安全控制措施，攻击以前所未有的利用速度找出新漏洞并带来毁灭性的后果 。黑客利用这两种技术的机器常见方法有如下几种 。

1. 垃圾邮件

Omida分析师Fernando Montenegro表示 ，学习防疫人员采用机器学习技术检测垃圾邮件的发起方式历史已经有几十年之久了
。“垃圾邮件预防是攻击机器学习最成功的高防服务器初始用例。”

如果所用垃圾邮件过滤器提供了未放行电子邮件或给出某个分数的利用原因，那么攻击者就可以调整自己的机器行为。他们会使用合法工具来让自己的学习攻击更加成功。“只要提交的发起方式够多 ，你就可以还原出模型是攻击什么，然后你就可以调整攻击，绕过这个模型 。”

脆弱的不仅仅是垃圾邮件过滤器 。源码库提供评分或其他某种输出的任何安全供应商，都可能被滥用。“不是所有人都存在这个问题，但只要你不小心 ，有人就会恶意利用这种输出。”

2. 更精致的网络钓鱼电子邮件

攻击者不仅仅采用机器学习安全工具来测试自己的邮件能否通过垃圾邮件过滤器。他们还会使用机器学习来编造这些电子邮件 。安永技术咨询合伙人Adam Malone称 ：“他们在犯罪论坛上发布售卖这些服务的广告 。他们利用这些技术生成更精致的网络钓鱼电子邮件
，编造虚假人设来推进诈骗活动 
。免费模板”

这些服务打广告时的宣传重点就是使用了机器学习，而且可能不仅仅是营销辞藻 ，而是真的如此。“试过就知道了。”Malone称，“效果那是真的好 。”

攻击者可以利用机器学习创造性地定制网络钓鱼电子邮件 ，防止这些邮件被标记为垃圾邮件 ，从而让目标用户有机会点进去
。源码下载他们定制的可不仅仅是邮件文本。攻击者会利用AI生成看起来非常真实的照片、社交媒体资料和其他材料，让交流看起来尽可能真实可信
。

3. 更高效的密码猜解

网络罪犯还会采用机器学习来猜解密码  。“我们有证据显示他们使用密码猜解引擎的频率更高了 ，猜解成功率也更高 。”网络罪犯正在编造更好的字典来破解被盗散列。

他们还利用机器学习识别安全控制措施 ，以便能够以更少的香港云服务器尝试次数猜中密码 ，提高成功入侵系统的概率。

4. 深度伪造

人工智能最令人惊恐的滥用方式是深度伪造工具：生成能够以假乱真的视频或音频的工具。“能够模拟他人声音或相貌骗人非常有效 。”Montenegro称，“要是有人伪装我的声音 ，估计你也会中招。”

事实上，过去几年里披露的服务器租用一系列重大案件显示，伪造的音频可致使公司损失成百上千乃至数百万美元。德克萨斯大学计算机科学教授Murat Kantarcioglu表示 ：“人们会接到老板打来的电话——那是假的。”

更为常见的是，骗子用AI生成看起来很真实的照片、用户资料和网络钓鱼邮件，让他们邮件看起来更可信。这是门大生意。根据FBI的报告，2016年至今
，商务电邮欺诈已导致超过430亿美元的损失。去年秋天 ，媒体报道称，香港一家银行被骗转账给犯罪团伙3500万美元，仅仅是因为一名银行职员接到了自己认识的公司董事的电话
。他认出了董事的声音
，毫不怀疑地授权了转账。

5. 无效化现成安全工具

当前常用的很多安全工具都内置了某种形式的人工智能或机器学习
。比如说，杀毒软件在查找可疑行为时就不止依赖基本的特征码
。“网上任何可用的东西 ，尤其是开源的东西，都会被坏人利用。”

攻击者可以使用这些工具
，不是用来抵御攻击 ，而是用来调整自己的恶意软件，直到能够绕过检测为止。“AI模型都有很多盲点 。”Kantarcioglu称
，“你可以通过改变攻击的特征加以调整，比如发送数据包的个数、攻击的资源等等 。”

而且，攻击者利用的可不仅仅是AI赋能的安全工具。AI只是大堆不同技术之一 。举个例子，用户常能学会通过找寻语法错误来识别网络钓鱼邮件。而AI赋能的语法检查器 ，比如Grammarly，可以帮助攻击者改善他们的写作。

6. 侦察

机器学习可用于侦察
，攻击者可以之查看目标的流量模式、防御措施和潜在的漏洞。侦察不是件容易的事，普通网络罪犯干不了。“想要利用AI侦察
，你得具备一定的技能。所以 
，我认为，只有高级的国家黑客才会用这些技术。”

但是，一旦某种程度上商业化了
，这种技术通过地下黑市以服务的形式提供 ，那就很多人都可以利用了 。“如果某个黑客国家队开发了一套使用机器学习的工具包
，并且发布到犯罪社区，这种情况也可能出现。”Mellen称，“但网络罪犯仍需了解机器学习应用程序的作用和有效利用方式 ，这就是利用的门槛。”

7. 自治代理

如果企业发觉自己正遭受攻击 ，断开受影响系统的互联网连接  ，那么恶意软件可能就无法回连其命令与控制（C2）服务器接收进一步的指令。“攻击者可能想要搞出一套智能模型
，即使在无法直接控制的情况下也能长期驻留。”Kantarcioglu称
，“但对于普通网络犯罪  ，我认为这一点不是特别重要 。”

8. AI投毒

攻击者可以通过馈送新信息来欺骗机器学习模型。全球风险研究所高级副研究员Alexey Rubtsov称 ：“对手可以操纵训练数据集 。例如，他们故意让模型产生偏向 ，让机器学习错误的方式
。”

举个例子，黑客可以操纵被劫持的用户账户每天凌晨2点登录系统进行无害的工作，导致系统认为凌晨2点工作没有任何可疑之处 ，从而减少用户必须通过的安全关卡。

2016年微软Tay聊天机器人被教成种族主义者就是类似的原因。同样的方法可用于训练系统认为特点类型的恶意软件是安全的，或者特定爬虫行为是完全正常的。

9. AI模糊测试

合法软件开发人员和渗透测试人员使用模糊测试软件生成随机样本输入，尝试搞崩应用程序或者找出漏洞。此类软件的加强版利用机器学习以更具针对性、更有条理的方式产生输入，例如优先考虑最有可能导致问题的文本字符串 。这类模糊测试工具为企业所用能取得更好的测试效果 ，但在攻击者手中也更为致命。

以上这些技术都是安全补丁
、反网络钓鱼教育和微分隔等网络安全手段依然至关重要的原因之一。佛瑞斯特研究所的Mellen称 ：“深度防御为什么如此重要？这也是其中一个原因。你得设置多重路障 ，而不是仅仅采用攻击者反用来对付你的那一种
。”

缺乏专业知识阻碍了恶意黑客利用机器学习和AI

投资机器学习需要大量的专业知识
，而机器学习相关专业知识目前是稀缺技能 。而且，由于很多漏洞都没修复，攻击者可以用来突破企业防线的便捷途径多的是 。

“唾手可得的目标多的是 ，不必使用机器学习和人工智能发起攻击也能赚钱的其他渠道也大把抓 。”Mellen表示 ，“根据我的经验，绝大多数情况下  ，攻击者并没有利用这些技术。”不过
，随着企业防御的提升 ，网络罪犯和黑客国家队也会继续投入攻击开发，这种平衡可能很快就会开始转变了。