随着网络安全技术的发展，每一种新技术都会带来新威胁，并创造出应对这些威胁的工具。生成式人工智能也不例外。

近日，在旧金山召开的《财富》AI头脑风暴大会上，Wipro首席技术官苏巴·塔塔瓦尔迪参加了专题讨论会，主要探讨了AI时代的网络安全威胁。她表示：“生成式AI使攻守双方都变得更容易。”

生成式AI让网络钓鱼攻击变得更加逼真，尤其是大语言模型创造了一个高度暴露的攻击面。与此同时，有不法分子开始在暗网出售面向黑客的聊天机器人，类似于OpenAI旗下的ChatGPT，就像ChatGPT能快速回答问题或总结文本一样，这些聊天机器人能快速发动矢量攻击。关于生成式AI对网络安全的影响，尤其具有挑战性的是，它能在极短的时间内上市（包括黑市）。各行各业的公司现在都在争相了解生成式AI支持的新型攻击，并开发新防御工具，还要应对这些工具的内部应用、政策以及合规等方面快速变化的挑战。因此，首席信息安全官（CISO）这个职务正在发生翻天覆地的变化。

塔塔瓦尔迪表示：“我很同情现在的首席信息安全官。”她还表示，首席信息安全官职责的关键在于快速创新，包括要有自己的创新，而不只是使用市场上可用的技术。

与塔塔瓦尔迪同台的还有Check Point首席策略官伊泰·格林伯格和安永（EY）全球AI创新负责人罗德里戈·曼德尼斯。他们在这次战略讨论会上，共同探讨了AI如何影响不断变化的网络安全环境。在谈到生成式AI可能带来的新威胁时，讨论的热点之一显然是首席信息安全官的职责受到的影响，因为这会对网络安全领域造成巨大冲击。

曼德尼斯表示：“首席信息安全官的职责具有巨大的挑战性，而且正在快速发生变化。我认为，目前他们的职责是执行现有的数据和保护政策，但如果他们要承担起保护公司执行的对话界面免受注入攻击的责任，他们需要具备不同技能，要有一套尚未被开发出来的工具，而且这些工具大多数需要公司内部自行开发。”

同样，格林伯格表示，首席信息安全官应该考虑他们要使用哪些工具，要向这些工具尤其是公共工具上传哪些数据。其中还包括仔细设置护栏，例如规定哪些人可以从系统中删除数据。

对于许多人而言，这与首席信息安全官以前的职责截然不同。以往，首席信息安全官的职责主要专注于技术层面，如IT外包等，但并不参与重大的政策决策。这一点引起了参与者的讨论。他们讨论了作为首席信息安全官面临的日益增多的风险，而且他们猜测这个职位可能被一分为二，其中一个职位的职责偏向于运营，另外一个则专注于治理。

数据安全与保护公司Commvault的罗斯·坎普在会上提到了一个事实，那就是首席信息安全官要因为他们对公司遭受攻击的处理方式，承担个人刑事责任，他提出了我们是否应该担心短期内首席信息安全官不足的问题。上个月，SolarWinds前首席信息安全官提摩西·布朗被美国证券交易委员会（the Securities and Exchange Commission）指控，未能披露已知安全风险构成欺诈投资者的罪名，这些安全风险导致该公司遭遇了一次大规模供应链攻击。分析师和法律专业人士认为，这种情况会变得非常普遍。

至于如何使用生成式AI应对生成式AI攻击，这项工作任重道远。但曼德尼斯表示，在2024年，网络安全行业将会掀起一场开发解决方案的竞争。

曼德尼斯称：“我认为我们才刚刚开始看到，人们意识到攻击向量会如何攻击暴露在外的代理，这些攻击会是什么形态，以及他们需要采取什么样的商业解决方案。但我认为我们还没有到那一步。我想，我们正在尽快开发商业解决方案，并进行评估和部署。”

格林伯格曾发表了许多与新型攻击有关的观点，例如新型网络钓鱼欺诈，以及FraudGPT等应用的可用性等。他强调了采用多重防线的重要性，并警告不要相信任何一个工具能保证网络安全。

他说道：“我认为，重要的是我们要理解，仅靠一个系统或一款产品无法解决这个问题。”

译者：刘进龙

审校：汪皓