HackerOne 报告显示,人工智能风险主导安全担忧
HackerOne 发布了最新的黑客驱动安全报告,揭示了安全专业人士对人工智能风险的关注增加,并强调了使用人工智能工具和关注移动设备的趋势。
该报告从 2000 多名安全研究人员、50 名客户和 HackerOne 数据库中发现的超过 500,000 份漏洞报告中提取了见解。一个关键发现是,48%的安全专业人士认为人工智能是他们未来最重要的安全威胁。
安全专业人士对训练数据潜在泄露表示具体担忧,35%的人将其视为主要风险。此外,33%的人对组织内未经授权使用人工智能感到警惕,而 32%的人则担心外部人员使用人工智能模型而被攻击。
报告还指出,黑客社区正在成熟,因为技能组合越来越多地集中在移动技术、API 和人工智能部署上。现在近 10%的研究人员专注于人工智能,这一转变是由于对人工智能测试工作的需求不断上升。
67%的安全专业人士认为,对生成性人工智能(GenAI)进行外部和公正的审查对于识别安全和保障问题至关重要,这与红队人工智能的关注相一致。
克里斯·埃文斯,HackerOne 的首席信息安全官,表示:“即使是最复杂的自动化也无法与人类智慧的独创性相匹敌。2024 年黑客驱动的安全报告证明了人类专业知识在应对人工智能和其他新兴技术带来的独特挑战中的重要性。该报告还提供了关于如何在组织与安全研究人员之间建立富有成效的关系的指导,以便有效发现和修复最新和难以捉摸的漏洞。”
收集的数据表明,在过去一年中,HackerOne 平台上待审查的人工智能资产增加了 171%,其中 55%的人工智能漏洞报告是人工智能安全问题。
尽管关注人工智能,传统技术问题仍然存在,跨站脚本攻击(XSS)和配置错误仍然是最常的弱点。这些漏洞主要通过渗透测试和漏洞赏金计划浮现,渗透测试识别出更多系统性问题。
研究表明,技术先进的行业,如在线服务、零售和电子商务,在开发阶段比其他行业更成功地减少了常见漏洞。值得注意的是,Web3 公司比行业标准减少了 65%的 跨站脚本攻击(XSS) 报告。
报告指出,加密货币和区块链组织对漏洞提供显著更高的悬赏。95%的赏金可以达到 100 万美元,互联网服务、零售和计算机软件也紧随其后。
安全研究人员在很大程度上受到经济和教育因素的驱动。77%的人进行网络攻击是为了提高收入,64%的人寻求学习新技能的机会。