ChatGPT放大物聯(lián)網(wǎng)、邊緣安全威脅

ChatGPT放大物聯(lián)網(wǎng)、邊緣安全威脅

ChatGPT可以是一個(gè)有用的客戶服務(wù)代理。不幸的是，客戶并不是它唯一能幫助的人，尤其是現(xiàn)在ChatGPT在許多物聯(lián)網(wǎng)和邊緣設(shè)備上。

物聯(lián)網(wǎng)(IoT)和邊緣計(jì)算多年來(lái)一直困擾著企業(yè)的安全工作。鑒于在家工作和混合工作安排的復(fù)雜性增加，情況最近大大惡化?，F(xiàn)在，ChatGPT出現(xiàn)在大多數(shù)物聯(lián)網(wǎng)和邊緣設(shè)備之上，有效地添加了援助之手，以威脅無(wú)處不在的參與者。

現(xiàn)有的漏洞，特別是在針對(duì)邊緣設(shè)備和用戶的人工智能和ChatGPT支持或輔助攻擊的背景下，可以通過(guò)不同的方式利用來(lái)攻擊企業(yè)。

盡管漏洞存在差異且利用漏洞的努力也多種多樣，但來(lái)自邊緣的威脅源自兩個(gè)物聯(lián)網(wǎng)領(lǐng)域之一：家庭物聯(lián)網(wǎng)和企業(yè)物聯(lián)網(wǎng)。

在許多情況下，員工家庭網(wǎng)絡(luò)及其中的數(shù)據(jù)是威脅行為者的首選目標(biāo)。

一旦進(jìn)入家庭網(wǎng)絡(luò)，攻擊者就可以重新進(jìn)入企業(yè)網(wǎng)絡(luò)，從而可能通過(guò)“受保護(hù)的用戶或家庭網(wǎng)絡(luò)”泄露敏感的商業(yè)信息。

但這并不是說(shuō)企業(yè)物聯(lián)網(wǎng)和邊緣設(shè)備會(huì)受到更直接的入侵。

例如，勒索軟件威脅行為者可以利用物聯(lián)網(wǎng)漏洞作為開(kāi)展惡意活動(dòng)的起點(diǎn)，可能對(duì)業(yè)務(wù)運(yùn)營(yíng)造成重大損害和中斷。

企業(yè)物聯(lián)網(wǎng)中不斷變化的威脅形勢(shì)

物聯(lián)網(wǎng)和邊緣計(jì)算在家庭和企業(yè)領(lǐng)域的使用率都在上升。雖然物聯(lián)網(wǎng)是一個(gè)高度分散的市場(chǎng)，但即使是少數(shù)類別的觀點(diǎn)也強(qiáng)調(diào)了全面持續(xù)且不受限制的增長(zhǎng)。Gartner預(yù)計(jì)，到2022年，企業(yè)領(lǐng)域和關(guān)鍵行業(yè)的物聯(lián)網(wǎng)支出將超過(guò)2680億美元。Deloitte預(yù)計(jì)，今年全球與物聯(lián)網(wǎng)相關(guān)的軟件和硬件支出將增至1.1萬(wàn)億美元。

但這些挑戰(zhàn)不僅僅與購(gòu)買和部署的物聯(lián)網(wǎng)和邊緣設(shè)備數(shù)量不斷增加有關(guān)。物聯(lián)網(wǎng)類型的日益多樣化也引發(fā)了問(wèn)題。

邊緣和物聯(lián)網(wǎng)設(shè)備的多樣性，從交換機(jī)、路由器、傳感器到銷售點(diǎn)系統(tǒng)、工業(yè)機(jī)器人和自動(dòng)化設(shè)備，也由于協(xié)議、功能和安全能力的變化而增加了額外的復(fù)雜性和安全漏洞。

如果認(rèn)為供應(yīng)商和買家在保護(hù)這些設(shè)備方面已經(jīng)做得很好了，那么再想想。僵尸網(wǎng)絡(luò)大軍和DDoS攻擊經(jīng)常來(lái)自未受保護(hù)的物聯(lián)網(wǎng)設(shè)備，這些設(shè)備看似無(wú)害，如酒店大堂水族箱恒溫器、家用智能冰箱和企業(yè)休息室的咖啡壺。

物聯(lián)網(wǎng)設(shè)備，尤其是邊緣設(shè)備，是組織中最容易受到攻擊的。

家庭和工作的危險(xiǎn)之處

物聯(lián)網(wǎng)和邊緣計(jì)算在其他地方也會(huì)產(chǎn)生漏洞。例如，不斷擴(kuò)大的邊緣計(jì)算空間給企業(yè)帶來(lái)了復(fù)雜的安全問(wèn)題——尤其是在企業(yè)和消費(fèi)者使用之間的邊界。

現(xiàn)代圖像存檔系統(tǒng)，稱為PACS，將超聲波或CT掃描儀等掃描儀與患者管理系統(tǒng)連接起來(lái)。目前，PACS服務(wù)器越來(lái)越多地連接到公共互聯(lián)網(wǎng)，以便患者和醫(yī)生可以訪問(wèn)數(shù)據(jù)。通常，這些IT基礎(chǔ)設(shè)施甚至連基本的預(yù)防措施都沒(méi)有到位，并不堅(jiān)強(qiáng)。

企業(yè)與消費(fèi)者物聯(lián)網(wǎng)和網(wǎng)絡(luò)之間日益緊密的聯(lián)系模糊了界限，并明確定義了攻擊者的機(jī)會(huì)。

危險(xiǎn)和損害也是雙向的。

目前，僅在美國(guó)，就有大約200個(gè)此類未受保護(hù)的檔案（PACS服務(wù)器）連接到公共互聯(lián)網(wǎng)。攻擊者可以利用這些漏洞，泄露或加密數(shù)據(jù)來(lái)勒索組織，利用這些數(shù)據(jù)對(duì)患者進(jìn)行醫(yī)療保險(xiǎn)欺詐，或者更改醫(yī)療圖像，從而破壞流程本身。

但對(duì)企業(yè)而言，消費(fèi)者和職業(yè)關(guān)系之間的十字路口并不是唯一的碰撞點(diǎn)。這些東西本身有交叉用途，會(huì)被破壞。例如，自動(dòng)駕駛汽車既有商業(yè)版本，也有消費(fèi)者版本。無(wú)論車輛是商業(yè)車隊(duì)、出租或租用車輛，還是不情愿地再次回到辦公室工作的員工所擁有的車輛，攻擊都很容易傳播到企業(yè)和用戶。

然后，家庭物聯(lián)網(wǎng)正在穩(wěn)步推進(jìn)，從攝像頭到智能電表到兒童玩具。

另一個(gè)令人擔(dān)憂的問(wèn)題是，遠(yuǎn)程員工使用的人工智能增強(qiáng)家用設(shè)備存在漏洞。例如，會(huì)計(jì)人員最后一次更新其家庭路由器或家庭網(wǎng)絡(luò)連接的存儲(chǔ)服務(wù)器是什么時(shí)候，這些服務(wù)器是其在遠(yuǎn)程工作時(shí)用于備份企業(yè)工作的。這個(gè)問(wèn)題進(jìn)一步加劇了企業(yè)面臨的挑戰(zhàn)，因?yàn)檫@增加了知識(shí)產(chǎn)權(quán)被盜的風(fēng)險(xiǎn)。

ChatGPT和人工智能如何使物聯(lián)網(wǎng)漏洞變得更嚴(yán)重

ChatGPT及其同類產(chǎn)品正在迅速集成或嵌入到各種類型的商業(yè)和消費(fèi)者物聯(lián)網(wǎng)中。許多人認(rèn)為人工智能模型是迄今為止最復(fù)雜的安全威脅。但大多數(shù)想象都是虛構(gòu)的。

現(xiàn)在，如果真正的人工智能出現(xiàn)，那么它是否離人類很遠(yuǎn)，這令人十分擔(dān)憂。不過(guò)，在短期內(nèi)開(kāi)發(fā)出真正的通用人工智能的可能性仍然非常低。

但對(duì)于最近引起轟動(dòng)的人工智能ChatGPT，那就是另一種恐慌了。

ChatGPT對(duì)物聯(lián)網(wǎng)構(gòu)成了內(nèi)部威脅，類似于流氓或‘無(wú)所不知的員工’所構(gòu)成的威脅。一些消費(fèi)者物聯(lián)網(wǎng)漏洞會(huì)帶來(lái)與微控制器或微處理器相同的風(fēng)險(xiǎn)。

從本質(zhì)上講，ChatGPT的潛在威脅源于其經(jīng)過(guò)訓(xùn)練，變得有幫助和有用。然而，這樣一個(gè)樂(lè)觀的首要指令可能非常有害。即使當(dāng)一個(gè)提示撞到其安全護(hù)欄時(shí)，另一個(gè)精心設(shè)計(jì)的提示也可以騙過(guò)它，使其執(zhí)行護(hù)欄旨在防止的事情。

這種類型的攻擊稱為提示注入，因?yàn)樘崾居糜谑鼓Ｐ秃雎韵惹暗闹噶罨驁?zhí)行意外的操作。提示注入可以直接在ChatGPT中使用，也可以在基于ChatGPT或其他大型語(yǔ)言AI模型構(gòu)建的應(yīng)用中使用。換句話說(shuō)，這種類型的攻擊可以注入位于物聯(lián)網(wǎng)和邊緣設(shè)備之上的ChatGPT。

此外，邊緣設(shè)備中的人工智能和ChatGPT等新興技術(shù)正在引入新的漏洞，企業(yè)需要注意這些漏洞。例如，人工智能算法可以被操縱來(lái)生成虛假數(shù)據(jù)，從而導(dǎo)致錯(cuò)誤的決策和行動(dòng)。ChatGPT還可以通過(guò)冒充受信任的個(gè)人或?qū)嶓w來(lái)進(jìn)行社會(huì)工程攻擊。

有時(shí)，可以使用一個(gè)提示來(lái)讓ChatGPT和類似的基于LLM的聊天機(jī)器人顯示用于指導(dǎo)其響應(yīng)的后臺(tái)或?qū)Ｓ行畔?，這些信息從未被企業(yè)以外的任何人訪問(wèn)過(guò)。

當(dāng)機(jī)密數(shù)據(jù)或源代碼在ChatGPT等工具中共享時(shí)，就會(huì)為合規(guī)義務(wù)帶來(lái)挑戰(zhàn)，并使知識(shí)產(chǎn)權(quán)面臨風(fēng)險(xiǎn)。

雖然不斷演變的威脅像野火一樣增長(zhǎng)和蔓延，但并非所有威脅都消失了。

任何新技術(shù)都會(huì)帶來(lái)風(fēng)險(xiǎn)，但這并不意味著風(fēng)險(xiǎn)都是全新的。事實(shí)上，企業(yè)可能會(huì)發(fā)現(xiàn)其已經(jīng)擁有許多人員、流程和技術(shù)來(lái)減輕ChatGPT等工具的風(fēng)險(xiǎn)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。