AI破解銀行安全系統，40年傳奇劫匪甘拜下風

美國傳奇銀行劫匪威利·薩頓曾將40年的歲月耗在搶劫銀行上。正如他在自傳中所言，他對此樂在其中。當被問及為何在眾多目標中偏偏選中銀行時，據說他給出了一個極為直白的回答：“因為錢都在那里。”

早在2017年，筆者就曾撰寫過一本書。書中預測，未來搶劫銀行的將不再只是像薩頓這樣帶有幾分傳奇色彩的法外之徒，人工智能也將加入這一行列。

如今看來，這一天似乎已近在咫尺。全球各地的銀行正陷入深切的擔憂之中，外界普遍認為，網絡犯罪分子很快就會利用人工智能的最新技術突破，企圖對金融機構實施盜竊。

金融界的擔憂，源于一款名為“邁索斯”的產品所展現出的驚人網絡能力。這是安斯羅皮克公司推出的最新且功能最強大的人工智能模型。該公司正是廣受歡迎的聊天機器人“克勞德”的幕后開發商。

對于普通公眾而言，目前還無法訪問或使用這一模型。這是因為安斯羅皮克公司以及眾多業內人士認為，“邁索斯”的能力過于強大。他們擔憂，將其貿然推向毫無防備的現實世界，或許會引發不可預知的風險。

針對“邁索斯”的內部測試結果令人心驚。該模型在所有主流系統平臺和網絡瀏覽器中，發現了數以千計的嚴重安全漏洞。

其中部分漏洞已經潛伏了數十年之久，至今未被察覺。許多漏洞正是科技界內部人士所稱的“零日漏洞”。這類漏洞的危險系數極高，一旦被用于攻擊，開發者必須在“零天”內，即立刻進行修復。

為了應對這一新興威脅，安斯羅皮克公司已將該模型共享給一個防御聯盟的十余家合作伙伴。該聯盟的成員包括微軟、亞馬遜云服務、蘋果、思科以及林納斯基金會。

該公司還承諾提供價值1億美元的使用額度。此外，他們還撥出400萬美元作為開源資助金，用于啟動對這些漏洞的排查與修復工作。

此外，包括多家美國銀行在內的40多個其他組織也獲得了訪問權限。然而令人擔憂的是，就目前掌握的信息來看，安斯羅皮克公司尚未向澳大利亞、英國或歐洲的任何銀行開放權限。

更讓外界憂慮的是，安斯羅皮克公司于周三證實，他們正在對記者的一篇報道展開調查。該報道聲稱，一小群未經授權的用戶已經獲取了“邁索斯”的訪問權限。不過，目前尚無證據表明這種涉嫌違規的訪問是出于惡意目的。

上周，來自世界各地的監管機構代表和政策制定者齊聚華盛頓，參加國際貨幣基金組織春季會議。伊朗戰爭無疑是會議的一大焦點。但與會者同時也發出了一系列嚴厲警告，直指銀行業正面臨的這一新興網絡安全威脅。

銀行之所以成為極具吸引力的目標，不僅因為那里是資金的匯聚地。更深層的原因在于，整個行業仍在依賴許多陳舊的傳統系統運行。這些擁有數十年歷史的老舊技術，在面對此類新型攻擊時可能顯得尤為脆弱。

不過，對于普通個人而言，大可不必過度恐慌。許多國家都為銀行客戶建立了完善的保護機制。以澳大利亞為例，客戶存款的首個25萬澳元，均受到政府支持的金融索賠計劃的保險覆蓋。

同時，澳大利亞證券和投資委員會也會嚴格監督。他們確保在客戶無過錯的情況下，銀行會對欺詐交易進行徹底調查并予以全額賠償。

因此，將現金全數取出并藏在床墊下，顯然并非明智之舉。各大銀行確實應當——且正在——爭分奪秒地修補這些安全漏洞。

筆者建議，公眾應定期更新個人電腦和智能手機，確保系統和銀行應用程序始終處于最新版本。隨著新漏洞的不斷曝光與修復，預計在不久的將來會迎來更為頻繁的系統更新。

此外，正如大家一貫保持的那樣，必須對試圖竊取銀行憑證的電子郵件和短信網絡釣魚攻擊保持高度警惕。

從長遠來看，“邁索斯”暴露出了一個殘酷的現實挑戰：防御的難度遠大于攻擊。軟件無疑是人類構建的最為復雜的產品之一。因此，想要確保其絕對沒有漏洞，幾乎是一項不可能完成的任務。

這迫使我們陷入了一場與“不法分子”之間永無休止的競賽。我們必須在系統缺陷被惡意利用之前，搶先一步將其找出并徹底修復。

舉例來說，歐洲聯盟剛剛在大張旗鼓的宣傳下發布了其年齡驗證應用程序。該程序原本被寄予厚望，旨在成為限制訪問社交媒體、色情內容及其他年齡限制內容的新興法律的基石。短短幾個小時內，安全專家就發現了未成年用戶可以輕易利用的網絡漏洞。

在最為關鍵的應用場景中，技術人員可以嘗試通過數學方法來證明軟件不存在漏洞。例如，有益人工智能基金會剛剛宣布了一項雄心勃勃的“登月”計劃。該計劃旨在證明廣受歡迎的“信號”消息應用程序確實如其所言，既沒有漏洞，又能完美保護用戶隱私。

但在當下的技術環境中，此類努力仍屬特例，尚未成為行業常態。不過，隨著人工智能技術的進一步突破，這一被動局面或許很快就能得到徹底扭轉。