|
近日,中金金融認證中心(CFCA)與中國銀聯云計算中心攜手進行前瞻性AI安全研究,揭示了當前具有聯網功能的AI助手可能存在新型安全隱患。研究發現,開啟聯網搜索功能的AI大模型助手可能在特定條件下,向用戶返回含有隱蔽惡意代碼的內容,可能對用戶信息安全乃至重要業務系統構成潛在威脅。 CFCA提示廣大用戶尤其是軟件開發者,在使用AI助手時,務必提高警惕,防范風險。 具體而言,實現此類攻擊需攻擊者預先針對特定問題領域構造隱蔽內容(可以看作“埋雷”)。當用戶向AI助手提出與這些內容相關的問題時,AI助手可能在不知情的情況下返回含有惡意指令或惡意代碼的響應。這些隱蔽的惡意代碼可被用于下載并執行病毒程序,尤其對使用AI進行代碼生成、系統命令行操作等場景構成極大的安全風險。研究團隊強調,此次發現僅為技術驗證,未實際傳播任何病毒,也未對任何真實用戶造成影響。但研究成果充分表明,目前流行的聯網AI助手都可能存在類似的安全隱患,攻擊方式具備普遍有效性。 CFCA特別提醒廣大用戶:當使用AI助手處理代碼編寫、計算機系統命令等敏感任務時,務必進行人工檢查,避免因過度信任AI生成的內容而引發安全風險。 近年來AI技術的迭代速度令人矚目,尤其在輔助編寫代碼、提升開發效率方面展現出巨大潛力。但開發者在擁抱AI帶來的便利與高效的同時,絕不能忽視或繞過軟件工程長期沉淀下來的科學方法與原則。嚴謹的需求分析、細致的設計、規范的編碼、嚴格的代碼審查、充分的單元測試與集成測試、以及持續的安全評估——這些軟件工程的基石,在AI輔助開發的時代不僅不應削弱,反而需要更加強調和落實。 |
