人职安全培训的未来：人工智能的挑战

重点摘要

• 传统的人职安全培训在识别和防范网络威胁方面变得不再有效。
• 人工智能的进步使得网络攻击手段愈发复杂，难以被普通员工识别。
• 企业需要重新评估职员在网络防御中的角色，转向技术手段来应对AI驱动的威胁。
• 建议用户保持警惕，核实涉及信息访问或金钱交易的沟通内容。

传统上，人职安全培训是网络安全工作的一个重要组成部分，旨在教育和赋权员工识别和防范潜在威胁。然而，随着人工智能（AI）的发展，该培训在保护组织免受网络攻击方面的效果逐渐减弱。这是因为AI驱动的威胁变得越来越复杂，难以检测，这让即使是经过良好培训的员工也很难发现。因此，组织发现传统的人职安全培训在面对这些类型的威胁时变得越来越无效。

那么，这意味着什么呢？我认为依赖员工在防御组织抵御入侵威胁方面的作用的时代已经结束。多年来，我们一直在教导员工如何，寻找，以及避免。尽管如此，勒索软件的袭击仍然处于历史高位，数据泄露通知的情况更是比90年代的AOL光盘还要常见。

人职安全培训计划中的最后一个有效元素之一是指示用户注意语法和拼写错误或文本的“不自然”之处。这可能在应对商业邮件诈骗（BEC）攻击时特别有效，因为接收者可能很了解被攻击者的请求。

现在让我们关注，这是一种来自OpenAI的人工智能，可以与之进行交互并请求执行任务。当前的版本使用的是叫GPT-3.5的训练模型，其输出的响应堪称逼真，甚至有时准确。当被请求提供较长的答案时，它可能会偏离主题，但在回答较短的问题或用英语书写文本方面，表现出色。

像ChatGPT这样的工具会否消除我们面临的许多骗局、垃圾邮件和钓鱼攻击的最后可检测元素？我认为有可能。让我们来看看几个例子。

以下是一个BEC诈骗者试图将某人的工资转入攻击者账户的诱饵。上面是攻击者的原始手写诱饵；下面是我让ChatGPT写的版本。

看起来还不错。听起来像是我可能会写的邮件。标点、拼写和语法都很好……

接下来我们来看看一个礼品卡诈骗。同样，顶部消息来自真实的诈骗者，底部则来自ChatGPT。

这两者完美吗？不完美。但它们够好吗？我必须说是的，因为诈骗者已经凭借那种粗糙的诱饵赚取了数百万。想象一下如果你在WhatsApp或MicrosoftTeams上与这个机器人聊天，你会知道吗？

为更好地理解这一点，我联系了Sophos X-Ops的AI负责人KonstantinBerlin。当我问他AI是否发展出人类难以检测的能力时，他直截了当地回答：“他们可能需要帮助。”

各种AI应用程序已经达到了几乎能够欺骗几乎100%的人的程度。与ChatGPT进行的“对话”非常引人注目，生成的假人脸几乎无法与真实照片区分。需要一个虚假的公司来实施欺诈吗？没问题。生成25个面孔，然后用ChatGPT撰写他们的传记。开几个假的LinkedIn账户，你就可以了。

尽管深度伪造