多伦多大学展示AI蠕虫可攻击任何在线设备，开启网络威胁新时代

多伦多大学的一组研究人员发现了一种新型网络威胁，这种威胁为黑客提供了更大的力量和影响力，成本却低得多。它可以使用免费的人工智能模型构建。每个在线设备都是潜在的目标。目前的网络防御尚未做好准备。

研究人员于6月2日发布了他们的工作，据信他们是第一个表明可以使用公开访问的人工智能模型来为蠕虫提供动力的人，这种蠕虫在从一个设备传播到下一个设备时会调整其策略。它可以夺取整个网络的控制权并劫持计算能力，让黑客几乎免费发起复杂的攻击。

该研究是在一个与外界隔绝的安全数字实验室中进行的，研究表明，高技能的黑客不需要尖端的人工智能或雄厚的财力来释放能够实时学习、计算和调整的恶意软件——利用每个设备中的已知漏洞，在系统中扩散。

这些发现引发了人们对互联世界安全的深切担忧——从金融系统到医院，再到支撑关键服务的网络。

“在坏人自己弄清楚这一威胁之前，我们必须在受控的学术环境中了解这种威胁，”尼古拉斯·帕珀诺特（Nicolas Papernot）表示。

他与位于多伦多大学的CleverHans实验室和Vector Institute的成员共同撰写了这项研究，他是加拿大CIFAR（加拿大高级研究所）人工智能主席。

帕珀诺特也是多伦多大学应用科学与工程学院计算机工程副教授以及艺术与科学学院计算机科学副教授，他补充说，这项研究是在经过仔细审查以删除任何可能帮助威胁行为者的信息后才分享的，并指出众所周知，此类努力正在闭门进行。

他说，他觉得有必要尽早公开，为研究人员、政策制定者和公众提供一个机会，以保护自己免受从日常笔记本电脑到空调系统和电网的新威胁。在发表之前，研究人员与国家科学、安全和国防机构分享了他们的发现，并就如何负责任地发布信息征求建议。

“我们进行这项研究是为了确保我们所依赖的数字生态系统的安全——保障人们的安全。”

“这一发现将我们带入了一个网络安全的新时代，”帕珀诺特说，他是多伦多大学施瓦茨·雷斯曼技术与社会研究所的附属教师，该研究所专注于确保人工智能对每个人负责、包容和有益。“通过了解风险，我们现在能够制定检测和防御此类威胁所需的对策。

”被低估的威胁帕珀诺特是世界领先的网络安全专家之一，他的实验室的使命是预测最重要的安全问题——即使是网络安全界尚未关注的问题。

Anthropic的Claude等最强大的人工智能模型的崛起引发了广泛恐慌，人们对其发现隐藏安全缺陷的前所未有的能力感到担忧，尽管大型科技公司仍保持着严格的控制以防止滥用。然而，帕珀诺特的团队对任何人都可以免费下载和修改的较小、相对简单的模型的潜在滥用感兴趣。

虽然对研究人员和开发人员来说很有价值，但这些“开放权重”人工智能模型可以被剥夺安全护栏，并在足够的技术知识下被操纵以造成伤害。这种风险通常被低估，因为这些模型缺乏造成真正损害的能力。因此，帕珀诺特的团队决定在安全的学术环境中对这一假设进行测试。

构建原型蠕虫是一种数字入侵者，它会在网络中爬行，将自己复制到它接触的每个设备上——无需点击，也不需要用户知情。如果它扎根，就会对整个系统造成严重破坏。传统上，这种类型的攻击遵循人类编程的固定脚本。

如果它遇到没有编程破解的防御，就会失败。网络安全专家知道这一点，并建立了保护措施来遏制此类威胁。对于他们的人工智能版本，帕珀诺特的团队在一个安全、封闭的系统中构建了一个概念验证原型，并采取了广泛的预防措施。

他们的实验在模拟数十个互连设备（包括笔记本电脑、打印机和相机）中模拟了人工智能驱动蠕虫的能力。研究人员的工作表明，开放权重人工智能模型可以用于设计一种更复杂的威胁——可以找出每个目标，定制其攻击并接管一台机器，然后将自己克隆到下一台机器上。

当该蠕虫深入网络时，它还会收集信息，每次入侵都会泄露密码和可以解锁另一台机器的弱点。由于它适应环境，没有任何单一的防御措施可以阻止它。这种蠕虫以牺牲受害者为代价扩大其影响范围。一旦将自己嵌入到机器中，人工智能蠕虫就会吸取处理能力来推动其推理并发起下一次攻击。

这种被盗的计算能力推动了其传播，基本上消除了每次新感染的成本。

“由于时间和计算资源有限，黑客通常不得不优先考虑最高价值的目标，”帕珀诺特说。“但现在，一旦蠕虫病毒推出，成本就会下降到接近零。

”与之前对通过人工智能应用程序传播的蠕虫的研究不同，研究人员的原型代表了一种威胁，可以在人工智能系统外部运行以攻击底层软件，从而使更广泛的设备面临风险。

“每一个连接到互联网的设备——笔记本电脑、相机、智能恒温器和其他一切——都成为潜在的目标，如果不是因为它所包含的数据，那么它就会成为攻击更有价值目标的立足点。”网络威胁的新时代虽然研究表明人工智能蠕虫不需要昂贵的模型或计算能力，但构建一个仍然需要技术专业知识。

即便如此，帕珀诺特怀疑防御窗口正在迅速关闭，而且网络安全世界还没有为即将发生的事情做好准备。与强大、受到严格保护的Claude不同，该原型并没有根除未知的弱点。

但在不受控制的环境下，该蠕虫可能会获得互联网访问权限，并扫描和利用有关新发现漏洞的警告通知，速度超过了旨在阻止漏洞的软件补丁。其中一些可以通过软件更新修复。但其他一些是人为错误，例如密码薄弱和IT设置草率，无法通过推出补丁来解决。

这意味着黑客不需要最先进的人工智能模型来造成前所未有的破坏。帕珀诺特说：“在一个相互关联的世界中，没有任何系统能够免受这种威胁。”“分享这些发现是激励研究人员、行业领导者和政策制定者迅速采取行动的第一步。

”每个设备都是下一次攻击的潜在信息来源，因此锁定自己的设备会使整个网络更难破解。帕珀诺特敦促IT专业人员加强任何可能导致其系统暴露的安全设置。用户也需要尽自己的一份力量。“每个人都可以在保障我们的安全方面发挥作用，”帕珀诺特说。

这意味着保持良好的安全卫生：保持设备补丁并保持最新状态。使用强密码。启用多因素身份验证。“我们再也负担不起对软件更新‘忽略’的后果了，”他说。“你关上的每扇门都会少一条进入的路，所以值得花几分钟重新启动。

”为防御而披露对于帕珀诺特来说，发表这些发现本身就是一种辩护行为，学术研究处于独特的地位。他指出了大学名誉教授杰弗里·辛顿（Geoffrey Hinton）开创的先例，后者因其角色而获得诺贝尔奖。