關於AI，你的安全供應商說實話了嗎？

聲稱自家產品運用了人工智慧或機器學習的某些供應商，其實還是用著老一套基於規則的檢測引擎。怎麼分辨他們有沒有說真話呢？

新技術產生新熱詞，雲、比特幣、區塊鏈、微服務、容器等等都是近幾年的熱門話題。作為一種技術，人工智慧(AI)這個詞其實幾十年前就出現了，只不過似乎最近才流行起來。有些供應商喜歡跟風，自家產品中根本沒用什麼真正的AI也敢貼上AI的標籤。或者，說得委婉一點：他們延伸了AI的含義。可能他們並不真正理解AI是什麼，也可能市場營銷團隊誤導了對AI的認知。無論如何，消費者需要知道：很多號稱擁有AI的產品其實並沒有這個功能。

供應商們似乎覺得在產品說明裡加上AI這個詞就能增加銷售量。但真正問及他們產品中的AI運用機制，他們要麼張口結舌，要麼給出的回答怎麼聽怎麼像是基於規則的檢測引擎。

產品中明顯沒有任何AI元素卻非要給自己貼上AI標籤的供應商就是在誤導消費者。這會挫傷付出巨大努力打造真正AI產品的那些廠商。作為計算機安全產品的買家，理解AI的真正含義有助於買到適合自己的產品，也有助於凈化市場。

AI與規則引擎的區別

很多依賴數百條規則的供應商老覺得自己完成了某種程度的AI，那麼AI與基於規則的引擎之間到底存在什麼差別呢？基於規則的引擎就好像基於病毒特徵碼的殺毒軟體(AV)，它們已經知道可以預期什麼了。基本上，就是一群研究人員收集過去發生的事件信息，然後寫出一堆「如果……就……」的條件語句規則來識別已知惡意軟體。規則的效果取決於你的研究程度，而且只有黑客按照已知範例操作你才能檢測得出。但是，黑客是不會事先通告自己的行事方法的，所以安全供應商總是慢半拍。

而真正的AI是前瞻性的。AI眼中不存在「未知」，即便以前沒有見過，也會從相似性或異常性上加以推斷，進而標記威脅。規則引擎和AI的關鍵區別就在於它們關注的重點不同。規則引擎是基於過往數據的條件式決策。AI則是專註識別新出現事件是否異常。AI最強大最有用的地方就在於對未知事物的判斷上。

另外，基於規則的引擎不會自主改進，只能期待有人來更新規則。AI則是用得越多越準確，能夠自我學習，不斷完善自身。AI的自適應性是其主要賣點之一。

一言以蔽之： 「規則著眼過去，AI預測未來。」

那麼，消費者該怎麼判斷供應商有沒有使用真正的AI呢？可以問問他們是如何處理零日漏洞檢測與緩解的。零日攻擊沒有先例，沒有辦法為這種意料之外的東西事先寫好規則。所以，供應商給出的回答會暴露出他們的產品到底是基於規則還是基於AI的。

未來的黑客攻防戰就是AI對決

雖然聽起來像是科幻小說之父儒勒·凡爾納描述的場景，但未來的黑客攻擊與防禦就是機器vs機器，攻擊者用AI繞過檢測實施攻擊，防禦者也用機器學習和AI反擊。

無論優劣，殭屍網路已經在用AI像人一樣實施攻擊了。他們會根據情況隨時改變行為，用AI來打敗防護和檢測。所以，必須用AI來反擊。計算機世界的AI對戰即便沒有鋪開也用不了多久就會爆發了。

機器對戰機器的想法其實在基於規則的世界中早已持續了很長時間。比如說，VirusTotal——供用戶提交文件散列值並與數十家殺軟的病毒樣本進行比對的一家網站。一款殺軟可能會漏掉某些惡意軟體，但幾十款殺軟就幾乎不會有所遺漏，或者不會長期遺漏了。

VirusTotal是個好東西。然而不幸的是，惡意軟體作者也能利用該網站。長期以來，他們已經自動化了惡意軟體構建過程，其中就包括讓VirusTotal掃描不出的一環。惡意軟體一旦開始被VirusTotal檢測，就會自動更新自身。這就是規則引擎世界中的機器vs機器。相同的概念可以在基於AI的世界中推而廣之。苗頭其實已經出現，很快就能在我們的線上世界裡看到惡意軟體用AI橫行了。

事實上，不需要太擔心會出現《終結者》電影里天網進化出自我意識操控機器人滅絕人類的場景。但我們確實正邁入網路世界攻防戰更加複雜多變的時代。我們將需要更好更多的AI來防禦自身。

太多公司宣稱自己擁有AI技術，但實際上卻依然用的是基於規則的引擎。惡意AI蠢蠢欲動，我們需要AI來對抗AI。所以，搞清楚到底哪些公司用了真AI，而哪些不過是在吹噓。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！