熱門話題
查看更多35.23萬 熱度
10.2萬 熱度
19.01萬 熱度
1096.09萬 熱度
1.69萬 熱度
熱門 Gate Fun
查看更多- 市值:$0.1持有人數:00.00%
- 市值:$0.1持有人數:10.00%
- 市值:$0.1持有人數:10.00%
- 市值:$0.1持有人數:10.00%
- 市值:$0.1持有人數:10.00%
置頂
🧧 Gate 廣場 $50,000 紅包雨狂撒,發帖 100% 中獎!
活動全面加碼,獎勵上不封頂!
🚀 人人有份: 新老用戶發帖即領,單帖最高可得 28U!
📈 多發多得: 參與次數不設限,發帖越多,紅包拿得越手軟!
立即參與:
1️⃣ 更新 App: 升級至 v8.8.0 版本。
2️⃣ 開啟紅包: 點擊發帖,獎勵自動入賬!
馬上發帖領紅包 👉 https://www.gate.com/post
詳情: https://www.gate.com/announcements/article/49773Gate 廣場|3/2 今日話題: #贵金原油价格飙升
🎁 帶話題發帖,抽 5 位幸運兒送出 $2,500 仓位體驗券!
中東局勢突變!美以聯手空襲,伊朗反擊並封鎖霍爾木茲海峽。航運受阻引發原油跳漲,避險情緒驅使資金瘋狂湧入黃金,貴金屬飆升。動蕩之下,財富機會何在?
💬 本期熱議:
1️⃣ 原油、貴金屬還能漲多遠?關鍵點位在哪?
2️⃣ 這波你在 Gate TradFi 布局了嗎?歡迎曬收益。
3️⃣ 美伊後續怎麼走?會如何影響原油、金屬和加密市場?
分享觀點,瓜分好禮 👉️ https://www.gate.com/post
Gate TradFi 👉️ https://www.gate.com/tradfi
📅 3/2 15:00 - 3/4 12:00 (UTC+8)
Ami Luttwak 如何看待人工智慧重塑網絡安全威脅格局
Ammi Luttwak,Wiz的首席技術官,為當今最緊迫的問題之一帶來了關鍵的觀點:人工智慧如何改變網路攻擊?他的回答揭示了安全本身的一個根本性事實。「網路安全在很大程度上是心理戰,」他解釋道。每一次技術轉變都為攻擊者創造了新的機會。隨著組織迅速將AI整合到其運營中——通過代碼生成工具、自主代理和專用應用程序——潛在的攻擊面呈指數級增長。這種加速,雖然提升了開發者的生產力,卻常常引入了粗心的實施和被忽視的細節,造成安全漏洞。
Wiz於2024年被谷歌以320億美元收購,最近完成的實驗揭示了一個令人擔憂的模式。在AI生成的應用程序中,經常出現不安全的認證機制。原因很簡單:「這樣做比較容易,」Luttwak指出。當開發者在提示AI代理撰寫代碼時,沒有明確要求最安全的方法,工具就會遵循最少阻力的路徑。當今企業面臨的根本挑戰是如何在速度與保護之間取得平衡。
兩者並進的演化:防禦者與攻擊者都在擁抱AI
使當前局勢尤為複雜的是,惡意行為者也已發現AI的潛力。攻擊者現在利用提示驅動技術和他們自己的AI代理來進行操作。「你實際上可以觀察到攻擊者在攻擊中使用提示,」Luttwak指出。這些不僅限於代碼生成。威脅行為者積極搜尋已部署的AI工具,並指示它們揭露秘密、刪除系統或暴露文件。這種動態已經從攻擊者試圖躲避安全工具,轉變為攻擊者積極操控這些工具。
這一能力也擴展到公司用來提升生產力的內部AI部署。這些整合打開了安全專家所稱的「供應鏈攻擊」的門戶。當攻擊者突破具有深度訪問權限的第三方服務,進入公司基礎設施時,就能在先前受到保護的系統中進行橫向移動。
第三方工具成為攻擊向量
Drift的入侵提供了一個具體的示範。這家為企業銷售和行銷功能提供AI聊天機器人的公司,在2024年底遭到入侵。攻擊者獲取了認證令牌,利用它們偽裝成合法的聊天機器人,訪問了數百家企業客戶的Salesforce實例,並在客戶環境中進行橫向移動。受影響的組織包括Cloudflare、Palo Alto Networks和Google。值得一提的是,Luttwak指出:「惡意代碼由攻擊者部署,也同樣是利用AI驅動的代碼生成技術創建的。」
另一個重要事件,被稱為「s1ingularity」,針對Nx——一款由全球數千名開發者使用的JavaScript開發工具。在2024年,威脅行為者注入了旨在識別運行在開發者機器上的AI助手工具(如Claude和Gemini)的惡意軟件。該惡意軟件隨後控制這些AI工具,自動搜尋敏感資訊——API密鑰、令牌、憑證——並將其外洩。這次入侵曝光了數千個開發者憑證,使攻擊者能夠訪問私有的GitHub倉庫和更深層的基礎設施。
在AI驅動的世界中重新思考安全架構
Luttwak強調,儘管僅約占企業的1%,但利用AI工具的組織已經每週遭受數千個客戶受到影響的攻擊。「如果分析攻擊流程,AI在每個階段都扮演了角色,」他指出。「這種轉變比我們以往見過的都要快。行業必須同步加快防禦能力的提升。」
Wiz本身也已進行轉型,以應對這一局面。公司成立於2020年,最初專注於識別雲端環境中的配置錯誤和漏洞,過去18個月來大幅擴展。2025年9月,Wiz推出了Wiz Code,旨在通過「安全設計」原則,在軟體開發生命週期的早期捕捉安全問題。2025年4月,Wiz Defend推出,提供雲端環境的實時威脅檢測與響應。Luttwak強調,實現他所謂的「橫向安全」需要從根本上理解客戶的應用程序。
安全必須在寫代碼之前開始
對於早期階段的公司,Luttwak提供了明確的指導:創業公司不應該自動將敏感的企業數據交給「每個只有幾個員工的小型SaaS供應商,無論他們對AI洞察的承諾如何。」相反,他認為安全和合規必須是基礎優先事項,而非事後才考慮。「你從一開始就需要一個CISO(首席資訊安全官)——即使你的團隊只有五個人,」他堅持說。
實務上,應在任何代碼產生之前,採用企業級的安全思維。這包括實施審計追蹤、多因素認證、正式的存取控制、開發流程、責任追蹤以及單一登入功能。Wiz本身在撰寫大量代碼之前就已獲得SOC2 Type II認證——一項重要的安全標準。「用五個人取得SOC2認證,比用五百人要容易得多,」Luttwak透露。
架構決策同樣重要。面向企業客戶的公司必須設計系統,使客戶數據保持在客戶自己的環境中隔離,而非與供應商的基礎設施混合。
未來的機遇
Luttwak認為,當前時代是真正的創新機會。電子郵件安全、釣魚防禦、惡意軟件防護和端點安全都面臨新的攻擊模式,亟需新解決方案。同樣,所謂的「AI驅動安全」——利用AI來防禦AI驅動威脅的工具——也在快速發展。許多安全團隊仍在學習如何有效部署這些能力。根據Ammi Luttwak的說法,這個領域仍然充滿空白,每個安全領域都在出現新的攻擊向量。「是時候重新思考我們的防禦策略的每一個層面,」他總結道。