攻击性安全策略的演变如同一场持续不断的军备竞赛。防御者筑起更坚固的防御墙,而攻击者则不断探索更具创意的方法来摧毁它们。一种重要的新武器已进入攻击者的武器库:生成式人工智能 (Generative AI)。威胁行为者正在利用生成式人工智能 (GenAI) 来自动化和扩展模糊测试——这是查找软件缺陷的最有效技术之一。这种漏洞发现速度的加速给安全团队带来了全新而艰巨的挑战。
传统上,模糊测试是用随机或半随机数据轰炸应用程序,看看它是否会崩溃或出现异常行为。虽然有效,但这通常是一个暴力破解且耗时的过程。现在,借助人工智能驱动的模糊测试,攻击者可以生成智能的、上下文感知的输入,从而更有可能发现深层可利用的漏洞。这不仅仅是一个小小的改进;而是漏洞利用方式的战略性转变。
GenAI 增强模糊测试的机制
模糊测试的核心在于发现软件代码中那些未知的未知因素。它是一种自动化安全测试,旨在触发开发人员和传统 QA 流程可能遗漏的错误。这些错误的范围很广,从简单的拒绝服务攻击到允许远程代码执行的严重漏洞,不一而足。
| 米制 | 传统模糊测试 | 人工智能驱动的模糊测试 |
| 代码覆盖率改进 | 100 | 400 |
| 漏洞发现率 | 100 | 280 |
| 时间减少 | 100 | 185 |
| 减少假阳性 | 100 | 67 |
那么,AI 在其中扮演着什么角色呢?AI 模糊测试技术利用机器学习模型,尤其是大型语言模型 (LLM),来超越随机输入。GenAI 不会向目标输入无意义的数据,而是会分析应用程序的预期输入格式,无论是文件类型、网络协议还是 API 调用结构。AI 会学习有效输入的“语法”,然后以最有可能触发边缘情况并暴露缺陷的方式对其进行智能变异。
想象一下,一个威胁行为者瞄准一个复杂的企业 PDF 阅读器。传统的模糊测试工具可能会发送数百万个完全随机的文件,其中大多数都会被立即拒绝。然而,GenAI 模糊测试活动会首先学习有效 PDF 文档的复杂结构。然后,它会生成数千个格式略有缺陷但结构合理的 PDF 文件。其中一个 PDF 文件的头部长度可能略有错误,另一个 PDF 文件的嵌入图像尺寸可能大得不可思议,第三个 PDF 文件的递归对象引用也可能存在问题。这些具体而细致的输入能够发现内存损坏漏洞和其他严重漏洞。这种智能方法使漏洞发现过程的效率成倍提高。
从漏洞发现到自动漏洞生成
发现漏洞只是第一步。为了使其更具威胁性,攻击者需要将该漏洞转化为可靠的漏洞利用程序。这正是人工智能威胁更加凸显的地方。GenAI 系统不仅能够高效地发现漏洞,还能用于自动漏洞利用程序生成。
一旦 AI 驱动的模糊测试工具识别出崩溃,它就能分析崩溃转储和故障发生时应用程序的状态。然后,AI 就能推断出漏洞的性质。是缓冲区溢出?还是释放后使用错误?基于这些分析,它可以开始编写概念验证漏洞利用程序。
| 付款方式 | 平均时间(小时) |
| 手动漏洞利用开发 | 168 |
| 传统模糊测试 | 72 |
| 人工智能驱动的模糊测试 | 24 |
例如,如果模糊测试器发现缓冲区溢出,GenAI 可以尝试编写 Shellcode(一小段用作软件漏洞利用的有效载荷的代码),并构建一个输入,该输入不仅会触发溢出,还会将恶意 Shellcode 放入可执行内存区域,并将程序的执行流重定向到该区域。这个过程曾经需要技术娴熟、经验丰富的人类逆向工程师来完成,现在可以通过 AI 显著加速。其结果是,从发现漏洞到创建武器化漏洞利用程序之间的时间显著缩短。这意味着攻击者可以比以往更快地利用“零日”漏洞。
对企业攻击面的影响
这对典型的企业意味着什么?攻击面扩大了,威胁也变得更加动态。有两个领域尤其面临风险:SaaS 平台和 Web 浏览器。
- 保护 SaaS 生态系统:企业依赖数百个 SaaS 应用程序来实现从文件共享到人力资源管理等各种功能。每个应用程序都可能成为 AI 模糊测试的潜在目标。攻击者可以使用这些技术探测 SaaS API 和 Web 界面中的漏洞,从而导致数据泄露或未经授权的访问。想象一下,攻击者使用 GenAI 模糊测试攻击公司的主要文件共享服务。发现一个漏洞就可能暴露大量敏感的公司数据。因此,防范影子 SaaS 并全面了解组织对 SaaS 的使用范围至关重要。LayerX 为组织提供工具来审计所有 SaaS 应用程序并实施安全治理,从而降低通过先进的自动化安全测试技术发现漏洞的风险。
- 浏览器作为新的端点:浏览器是与 Web 和 SaaS 应用程序交互的主要工具,因此成为高价值攻击目标。浏览器被入侵可能导致凭证被盗、会话劫持以及恶意代码被注入受信任的 Web 应用程序。威胁行为者正在积极利用人工智能模糊测试来查找浏览器及其扩展程序中的零日漏洞。通过这些自动化方法发现的成功浏览器漏洞,可以让攻击者在企业网络中获得持久的立足点。LayerX 的企业浏览器扩展程序旨在通过提供对所有浏览器活动的可见性和控制、防止数据泄露以及消除源自浏览器攻击的威胁来应对这些威胁。
| 漏洞类型 | 铬2024的 | AI模糊测试的预计影响 |
| 拒绝服务 | 825 | 990 |
| 内存溢出 | 351 | 421 |
| 安全绕过 | 276 | 331 |
| 披露信息 | 157 | 188 |
防御人工智能加速的威胁
以毒攻毒是唯一可行的策略。正如攻击者利用AI模糊测试来发现漏洞一样,防御者也必须采用AI驱动的安全措施来应对他们。
防御的未来在于主动且智能的自动化安全测试。企业必须将自己的人工智能模糊测试和 GenAI 模糊测试程序集成到其软件开发生命周期 (SDLC) 中。通过持续对内部和第三方应用程序进行模糊测试,他们可以在攻击者发现和利用漏洞之前发现并修补漏洞。
然而,单纯的预防方法是不够的。自动化漏洞利用的速度意味着某些攻击必然会得逞。正因如此,浏览器检测与响应 (BDR) 才至关重要。像 LayerX 这样的 BDR 解决方案假设浏览器环境并非完全可信。它会持续监控浏览器行为,以发现漏洞利用的迹象,例如异常进程执行、意外网络连接或试图访问敏感数据。一旦检测到威胁,它就能实时响应,遏制攻击并防止数据泄露。
设想这样一种场景:攻击者利用 AI 生成的漏洞攻击一个流行的 Chrome 扩展程序。该漏洞是一个零日漏洞,因此传统的基于签名的防病毒软件对其无效。一旦漏洞触发并试图将敏感数据从企业 SaaS 应用发送到外部服务器,LayerX 就会检测到异常数据流并进行拦截,使漏洞失效,并向安全团队发出受感染端点的警报。
人工智能模糊测试的出现标志着网络安全翻开了新的篇章。它极大地加快了漏洞发现和自动化漏洞利用的速度,给企业安全团队带来了巨大的压力。为了跟上时代的步伐,企业必须采用现代安全策略,将浏览器视为主要攻击媒介,并为整个 SaaS 生态系统提供高级保护。通过了解攻击者的能力并实施主动的、基于人工智能的防御措施,企业可以在这个快速演变的新威胁环境中保护自己。
