对话Akamai：安全问题迫在眉睫，AI「Buff」是利好防守方还是攻击方？

数字化时代，安全是一个需要长期研究的课题。

今年一月份美国医疗设备巨头因网络攻击，100万人的敏感信息被泄露；印度火车票务平台遭遇大规模数据泄露，涉及人数超3100万；紧接着是制药巨头Sun Pharma、皇家邮政（Royal Mail）被勒索软件攻击...

而国内近两年也成了安全事故频发的重灾区，在此影响下，国内企业对安全的重视程度有了明显的提升。据一项调查数据显示，包括中国、日本、印尼、新加坡、澳新地区以及韩国等地在内的2341 位受访者。其中75% 的亚太地区用户表示，在发生数据泄露事件时，即使该企业能够提供优质的服务和产品，也会停止对该公司的支持。

这也从侧面说明了，数据安全的重要性正在日益凸显，同时也为许多没有把数据安全放在第一位的企业敲响了警钟。

但与之而来的数字化再次给企业笼罩了一层安全的阴霾。这一时期，企业积极拥抱数字化，数字技术逐渐应用到各业务场景中，但同时也加剧了网络勒索、钓鱼攻击、数据窃取等重大安全事件频发。

更重要的是，处在数字化转型深水区的企业有一个很明显的特征，大部分公司开始把越来越多的业务从线下搬到线上，这时就需要通过API进行数据交换和实现业务逻辑的转变，同时企业APP、Web和应用程序核心功能、云体系与微服务架构等均离不开API，API的数量和流量与日俱增，这也就加剧了API安全问题的频发。

相关市场研究报告数据说明，与整体 API 流量相比，API 攻击流量增长了三倍。通过利用API的安全漏洞，攻击者可以轻松获取企业Web应用系统及服务器设备的控制权限，从而进行扫号撞库、数据窃取、营销作弊等破坏活动，严重损害企业的业务发展。

也就是说，当下 API安全的建设已经刻不容缓，但现实情况是，很多企业在API安全建设方面相对薄弱，企业存在一些误区，这就给了黑产可乘之机。

执行副总裁兼CTO Robert Blumofe

Akamai自成立以来就一直在做安全方面的相关研究，其中Web防火墙就是主要产品之一。执行总裁Robert Blumofe表示，越来越多的Web应用都是通过API来实现的，包括后端和前端的通信，不同的微服务之间的通信等。

他坦言，现在大部分企有一个很普遍的现象，一家企业的整体业务中可能有几百个甚至上千个API。但这些API如果没有得到妥善防护，就很容易被网络罪犯入侵、攻击，以获得访问一些敏感信息或者入侵到企业的具体业务中去。

从企业层面来说，很多企业虽然有成千上万个API，但其实他们本身是不自知的，同时这些企业更是缺乏监测API情况的手段，比如这些API是否是合法使用的，甚至没有能力了解API什么时候受到了攻击。

此外，很多企业使用的是第三方的开源插件，Robert Blumofe谈到，这种情况也已经非常普遍，和API一样，一般情况下大部分企业不知道自己用了哪些第三方的软件，有时即使知道用了也不知道这些软件是谁写的，这就让企业在进行安全防护时显得很被动。

基于此，Akamai提出了“可视性”的概念，同时，为了加强自身安全方面的服务能力，Akamai收购了Neosec公司，并面向市场推出这样新的API的防护、可视的能力——Neosec API安全解决方案，通过该方案，客户可以实时看到他们公司所拥有的API的使用情况，同时在API被滥用的时候能够对他们提出警报。

对此，Akamai副总裁暨大中华区总经理李昇回忆道，2021年12月，一个“核弹级”漏洞（Log4Shell ）的爆出，让全球陷入了惶恐，短时间内就让全球近半数的企业网络遭遇了攻击，并在互联网上迅猛扩散。主要原因在于Log4j漏洞利用成本极低，可以直接任意代码执行，并接管目标服务器。

而Akamai 威胁研究实验室利用自身对于全球海量数据中心的监测能力，从全球 200 多个不同行业、不同规模的数据中心收集了相关数据，评估了 Log4j 漏洞给企业带来的实际风险并给出防御建议。

其中就运用到了“可视性”防护的策略，而其背后是“微分段”提供了技术支撑。李昇形象的比喻道，就像一个大楼，如果没有微分段的话，一旦有风险的软件被使用，它在大楼中就可以去任何一个房间中的任何一个文件柜。但“微分段”就是虽然进了这个楼，每个房间里面都配置了一把锁，甚至每一个文件柜都有一把锁。这样的话，就算进到这个房间，也不能在没有授权的情况下访问文件柜中的文件。

“之前的‘微分段’，你的访问的是一个大楼，一旦你进到这个大楼就可以畅通无阻了。现在的“微分段”实际上就是给每个房间都上了一把锁，只有你确实需要进入某个特定房间的时候、你才能够进入某个房间。”

转眼到了大模型时代，安全问题似乎比数字化时代更为严峻，诸如GPT刚进入大众视野时，被人们称为“全知全能的神”，但是伴随着使用过程中出现的数据泄露等问题，也引来了各种争议。包括三星、摩根大通、苹果、花旗集团等在内的多家头部企业纷纷限制员工使用ChatGPT。

雷峰网了解到，早在前几年Akamai就通过深度学习实现了流量分类的作用，比如是恶意流量还是非恶意流量，正常流量还是异常流量，真实人类产生的流量，还是机器人程序Bot产生的流量。

当然大模型的出现也给Akamai在安全方面的研究提供了新的视野和新的技术支撑，据Robert Blumofe介绍，基于公司目前的运行规模，通过所有数据和收集的互联网的流量，Akamai训练了一个深度学习的模型，这样能实现更加有效的流量分类。

但一项新鲜事物的诞生，往往是机遇和挑战并存。Robert Blumofe分析道，生成式AI的出现让我们能够看到很多新的机会、新的机遇，但是其实也带来新的威胁。如果放在网络罪犯的手里，生成式AI其实是一个非常强有力的犯罪工具。网络犯罪分子可以利用生成式AI大量的去生成这种“钓鱼的诱饵”，也可以用它产生大量的恶意软件。

还重点强调了要从提示词的输入方面规避安全事故的发生：

首先，第三方大模型会记录下你输入的提示词内容，将来某个阶段在输出答案时，很可能把这些提示词作为答案的一部分反馈给其他用户。如果当中涉及到一些敏感信息或者公司业务信息，就会泄露从而给个人或者公司带来不小的损失。

其次，在用于一些严肃场景，关键用途时候，一定要看大模型输出的结果是什么样的。

纵观网络攻击事件的发展，随着科学技术的进步，网络攻击手段也在不断的升级，五年前更多的是类似“黑客” 的“网络罪犯”，他们更多的是为了凸显自己的能力或者传播自己的观点。

但近五年出现了一种新型的网络犯罪模式，他们更多的是出于金钱目的，且他们的能力和工具比之前要强的多，攻击更有效、规模更大。

在Robert Blumofe看来，未来五年会有更多的由AI驱动的网络犯罪、网络攻击工具。从短期来看，随着生成式AI的出现，会出现一种能力不对等的情况，且更多的能力会赋予到网络攻击方而非防守方。所以作为防守方，就更需要了解对方有哪些工具，了解他们怎么样用AI技术来进行网络攻击。

“从现有的评估不同的公司防护机制、防护手段的角度来看，Akamai鼓励所有人在评估网络防护手段时一定要重点分析现有的防护手段是否能有效的抵御AI驱动的网络攻击，”Robert Blumofe如是说。

所谓道高一尺魔高一丈，大模型时代，安全必然会成为现在乃至未来很长一段时间业界关注的焦点话题。如何提高防护手段，抵御新型攻击？仍需要时间来验证。

（雷峰网雷峰网(公众号：雷峰网)雷峰网）