在計算變得越來越復雜的時代，安全研究人員和響應團隊經常難以跟上持續的攻擊企圖以及漏洞和補丁管理。

隨著人工智能的崛起，它漸漸被“吹捧”為一種潛在的解決方案，用于自動檢測和打擊惡意軟件可以學習如何發現可疑行為，并在它們影響任何組織之前阻止網絡攻擊，同時使得人類避免一些不必要的工作量。但是，威脅行為者也可以使用相同的技術來增強他們自己的攻擊方法，被犯罪分子武器化，這些惡意軟件甚至可以逃避最好的網絡安全防御并感染計算機網絡或僅在攝像機檢測到目標的人臉時發動攻擊。

最近，IBM研究院開發了一種名為“DeepLocker”的惡意軟件，人工智能（AI）可以繞過網絡安全保護來進行攻擊。這不是IBM今年第一次提出有關人工智能危險的研究。

在4月份的RSA會議上，IBM就曾概述了攻擊者可以操縱機器學習模型來破壞結果和影響結果的方法。

它是如何運行的？

對于許多形式的惡意軟件，需要代碼調用命令和控制節點來獲取指令或下載有效負載。通過監視那些出站異常連接，安全技術通常可以檢測到惡意軟件，但這對DeepLocker來說是行不通的。

IBM Research的首席研究科學家兼認知網絡安全情報經理Marc Ph.Stoecklin表示，DeepLocker完全獨立于這個良性應用程序，它確實需要通過互聯網發送惡意軟件負載。

IBM research的研究科學家迪隆基拉特(Dhilung Kirat)解釋說，IBM編寫了定制代碼，并事先對機器學習模型進行了訓練，以便它可以隨時部署。Kirat補充表示，許多智能應用程序已經集成了機器學習模型，因此可以將DeepLocker與企業希望在應用程序中看到的代碼放在一起。

雖然這看起來像是一個危險的先例，但IBM這種“瘋狂”的行為是有原因的，IBM聲稱，由于網絡犯罪分子已經在努力將人工智能武器化，因此應對這種威脅的最佳方法是就是觀察其運作方式。

雖然正常的惡意軟件可以被“捕獲”，并通過反向工程來弄清楚它是如何工作的（從而制造出防范方法，就像“疫苗”一樣），但分析神經網絡是如何做出決策比弄清簡單的惡意軟件是如何工作的要困難得多。

該公司構建的DeepLocker，被描述為“一種由AI驅動的具有高度針對性和規避性攻擊工具的新型惡意軟件”，目的是了解現有的AI模型是如何與惡意軟件技術相結合，從而創造出一種新的攻擊類型。它的概念驗證工具隱藏在其他應用程序中，直到它識別出被鎖定的攻擊對象：當某個不幸的個體被標記（通過人臉識別、地理定位信息和語音識別等方式）時，惡意軟件就會進行攻擊。

只有在識別出特定的標準時，AI模型才會“解鎖”惡意軟件以開始攻擊。它們可以基于任意數量的屬性，包括視覺、音頻、地理定位和系統級特性等。你幾乎不可能確定所有可能的觸發因素，這就使得深度神經網絡（DNN）的反向工程變得困難起來。

Marc Ph. Stoecklin談到，普通的惡意軟件如木馬與僵尸網絡植入系統中，就會需要建立連接，連到外部C&C服務器以取得指令或下載有效載荷。因此一般網絡安全防護軟件只要偵測異常對外連線即可找出惡意軟件，但DeepLocker則不同，它包含客制程式碼，隱蔽性極強，并具有極高的針對性，在目標物未出現之前，可以隱藏在普通的應用軟件中，感染掉上百萬的系統也不會被察覺。

為了測試DeepLocker，IBM在視頻會議應用程序中隱藏了勒索軟件，以便系統無法檢測到它，并訓練AI模型根據人臉識別解鎖它。

當DNN通過網絡攝像頭（視頻會議）在他們的PC前面“看到”攻擊目標時，它提供了打開有效載荷并鎖定受害者系統的“鑰匙”。

IBM工作的一個聰明之處在于，它已經將黑盒AI的傳統弱點——你無法看到內部，也就無法了解它如何做出決策的——變成了一種優勢。

IBM的Marc Stoecklin寫道：“簡單地說，如果將其隱藏起來，那么觸發條件就會變成一個非常難以破譯的AI模型的深度卷積網絡”。除此之外，它還能夠將隱藏的觸發條件本身轉換為解鎖攻擊有效載荷所需的‘密碼’或‘密鑰’。”

檢測

檢測DeepLocker的一種方法是使用某種基于行為的技術來檢測應用程序何時偏離了已知的良好基線。IBM正在積極研究的另一種方法是利用網絡欺騙來欺騙人工智能驅動的惡意軟件。

防御DeepLocker不是一項簡單的任務，但這也是為什么IBM制造了這次攻擊并在Black Hat USA討論它的部分原因。Stoecklin表示，IBM希望提高網絡安全行業對人工智能如何影響下一代網絡攻擊的認識。

他說:“我們的任務是提高人們的意識，即攻擊者將通過人工智能發展他們的武器庫。”“許多傳統的防御系統將無法檢測到這些新的威脅，因此行業和研究人員都需要想出保護的方法。”

雖然DeepLocker和AI驅動的惡意軟件可能造成巨大損害，但Stoecklin表示，到目前為止，IBM研究人員還沒有看到攻擊者使用像DeepLocker這樣的東西。