网络安全专家Black Hat大会首要担忧：AI、深度伪造与人为错误

网络安全领域处于持续演进的状态，这一点在Black Hat 2025大会上得到了鲜明凸显。会上，行业专家齐聚一堂，剖析了那些让他们夜不能寐的最紧迫威胁。TechnologyAdvice最近发布的一份报告，汇集了马特·冈萨雷斯在会上的采访见解，强调人工智能、深度伪造和人为错误是主要关注点，生动描绘了一个既要应对复杂技术进步，又要面对持久人性脆弱性的世界。

人工智能曾主要被视为防御者的盟友，如今已成为一把双刃剑，被恶意行为者广泛武器化。Black Hat 2025的讨论揭示，攻击者正利用AI自动化并扩大其行动规模，从识别和利用未修补的漏洞到窃取凭证，有效地“登录”系统，而非传统意义上的“入侵”系统。生成式AI尤其令人担忧，它使威胁行为者能够制作可信的钓鱼诱饵、编写恶意代码，甚至以虚假身份获取远程IT工作。大会还揭示了对AI系统本身的直接攻击日益增加的威胁，包括模型提取和利用AI内容过滤及安全措施弱点的“越狱”攻击。这种攻击性AI能力正在加速网络军备竞赛，要求防御者也部署AI和自动化，以匹配对手的速度和效率。

加剧AI威胁的是深度伪造的隐蔽兴起。曾被视为娱乐或政治虚假信息工具的深度伪造，已迅速发展成为一种强大的网络安全风险，常用于身份欺诈、金融诈骗和信息传播。Black Hat 2025的专家们详细阐述了伪造的视频、音频和图像如今在钓鱼邮件、聊天消息和语音冒充诈骗中普遍存在且令人担忧。高知名度案例，包括一起惊人的2500万美元欺诈事件，表明深度伪造在商业电子邮件诈骗（BEC）场景中的有效性，通过令人信服的高管冒充诱骗员工转移资金或泄露敏感信息。深度伪造技术的普及性，仅需几秒钟的音频即可进行语音克隆，使这种形式的欺诈更加民主化，从而使强大的验证协议和持续检测能力比以往任何时候都更加关键。

尽管AI驱动的威胁和深度伪造技术日益复杂，人为错误仍然是网络安全链中最持久和最常见的漏洞。社会工程利用人类心理而非技术缺陷，在2024年5月至2025年5月期间，占网络入侵的36%，超越了传统的恶意软件和漏洞利用，成为主要的入侵方法。这种成功常归因于过高的访问权限、被忽视的系统警报和薄弱的身份验证流程。Black Hat 2025的讨论强调，传统的钓鱼培训指标可能具有误导性，凸显了如何防止员工成为精心制作的诱饵受害者的持续挑战。网络安全领导者现在正敦促组织停止将人为错误视为偶然的疏忽，而是将其视为一个根本性的安全漏洞，需要将安全文化转变为“永不信任，始终验证”的心态。

为应对这些不断演变的威胁，Black Hat 2025强调了对全面和适应性防御策略的迫切需求。组织必须采纳AI驱动的解决方案，实现自动化威胁检测和响应，同时加强多因素认证和零信任架构等基础安全措施。至关重要的是，人为因素仍然是重中之重；投资于内部网络安全能力，培养人类警惕性，并提供有效培训以解决社会工程的心理层面，对于构建弹性防御至关重要。Black Hat 2025的共识明确：网络安全的未来取决于先进技术与提高的人类意识的协同融合。