
新加坡:随着员工开始转向使用未经授权的人工智能(AI)工具来完成工作,一种日益增长但常被忽视的网络风险正在悄然浮现。
“以前是‘影子IT’。人们为了完成工作,会安装一些不该安装的软件,从而让公司面临风险,”DEF CON创始人杰夫·莫斯(Jeff Moss)在周三(4月29日)表示。
“现在,人们正在安装AI智能体……因为面临着绩效压力。但他们往往没有意识到,你输入系统的数据会传回给制造商,并被用于训练(AI模型),”他在接受CNA《Singapore Tonight》节目采访时说道。
他警告说,尽管各组织都在关注传统的网络威胁,但“影子AI”的威胁可能会导致敏感的企业数据泄露。
莫斯先生是在首届DEF CON新加坡大会的第二天发表上述讲话的。该大会旨在通过汇集黑客和网络安全专家,测试和挑战如警察机器人和无人机等系统,从而扩大道德黑客社区。
DEF CON最初于1993年在美国启动,现已成为全球规模最大、最具影响力的黑客大会之一。
新加坡内政科技局(HTX)与DEF CON合作,首次将该活动带到了东南亚。活动在金沙会展中心的Milipol TechX峰会期间举行。
莫斯先生表示,新加坡的首秀吸引了约3,000名参与者,其中约四分之一来自该地区的其他国家,包括澳大利亚、越南、泰国和菲律宾。
他表示,组织者最初并不确定当地观众的反应,但其多样性令人感到惊喜。
“我们原本以为可能有很多学生,但我们也迎来了很多职业专业人士,”他指出。
“事实证明,他们非常享受亲手接触技术、拆解设备以及玩转那些平时没时间尝试的东西的过程。”
人才缺口
活动设有针对不同领域的“村落”(专门区域)——包括海事和汽车网络安全——此外还有旨在让参与者接触现实世界漏洞的竞赛和动手演示。
例如,在HTX设立的公共安全村,参与者尝试黑入一只自主机器狗的网络,并中断机器人与其控制App之间的通信。
专家表示,这种实战演练至关重要,特别是在网络安全专业知识仍然匮乏的利基领域。
“全球范围内合格的海事安全专业人员远远不够,”海事黑客村执行主任邓肯·伍德伯里(Duncan Woodbury)说道。
“有很多人了解传统的企业IT安全,但很少有人真正理解黑入嵌入式海事系统和运营技术意味着什么。”
他补充说,这种缺口为那些寻求进入该领域的人提供了“巨大的机会”。
HTX xCybersecurity部门总监Yeo Lip Khoon表示,由于AI和网络安全技术的发展速度极快,个人或小组独自工作是无法掌握所有知识的。
“因此,团队聚集在一起交流想法、碰撞新思路,从而发现新的做事方式并学习,始终是一件好事,”他补充道。
攻防对抗
DEF CON的一个核心特色是其历史悠久的“夺旗赛”(capture the flag),黑客团队在受控环境中尝试攻击和防御系统。
莫斯先生表示,此类演习对于培养实战技能至关重要。
“除非你了解技术是如何运作的,否则你无法进行防御。你的大脑可能会构思一些并非基于坏人实际操作模式的奇怪场景。但如果你参加这些比赛,你就能看到:‘不,他们会采取这一步,我们必须这样防御’,”他指出。
虽然此类网络威胁具有全球性,但莫斯先生强调,组织需要更加关注员工非正式使用AI工具的情况。
他举了一些案例:公司在利用AI工具进行翻译等任务时,无意中通过上传内部文件泄露了机密信息。
“他们总是会选择最快的路径,不幸的是,‘影子AI’正成为一个新的隐患,”他说。
随着AI应用的加速普及,莫斯先生表示,组织必须在提高生产力与保护数据之间取得平衡——否则将面临从内部产生新漏洞的风险。























