AI安全盲区暴露的"侧信道攻击"……基于规则的检测是否已到极限？

人工智能(AI)安全讨论大多集中在模型的误操作或滥用上。但有人指出，更紧迫的问题在于现有检测体系“视而不见”之处。最近备受关注的“侧信道攻击”被认为是赤裸裸地展现这种检测空白的典型案例。

侧信道攻击并非攻破软件代码本身的方式。相反，它是一种通过分析功耗、电磁辐射、处理时间等物理信号来窃取信息或干扰程序执行的技术。即使是加密密钥等敏感信息，也可以通过测量硬件中偶然泄露的信号来获取。

根据最近的研究，外部观察者仅通过分析加密流量的模式就能推断出AI交互的“主题”。既不需要解密，也无需查看数据正文。这意味着仅凭流量的结构、时间间隔和顺序就能揭示有意义的信息。问题在于，这些信号位于现有以内容为中心的安全工具的视野之外。

基于规则检测的局限性

过去20年来，安全检测一直建立在“规则”之上。签名、阈值、已知模式和异常检测基线一直是安全运营的核心。业界不仅引入了更多规则、更精密的规则，还引入了能使其运行更快的AI。

然而，基于规则的检测最终需要存在“可以比对的对象”才能运作。必须有已知的痕迹、明显的偏差、清晰的边界侵犯才能发出警报。相比之下，侧信道攻击或许多最新的入侵技术都避开了这些前提。

如果攻击者利用加密通道、正常工具或AI辅助工作流，每个单独的行为都可能看起来是正常的。如果只看每个步骤，可能没有异常迹象，但随着时间的推移联系起来看，攻击模式就会显现出来。这一点正是“检测差距”。这并非覆盖范围不足的问题，而更接近结构性局限。

即使用AI也会漏掉的攻击

这种检测差距的现实意义很简单。即使攻击者在内部活动，安全团队也可能收不到任何信号。不仅没有低可信度的警报，甚至连调查的线索本身都不存在。

侧信道攻击是一个典型案例。数据确实存在，但它隐藏在时差、顺序、交互模式之中。现有工具并非为解读这些而设计。缓慢进行的入侵，即所谓的“低慢”攻击，或是滥用正常管理工具的“离地生存”技术，以及根据移动路径改变形态的AI辅助攻击，也是如此。

问题在于，随着企业在业务和攻击两方面越来越多地使用AI，此类盲区会变得更广。然而，相当一部分安全投资仍集中在更快、更有效地处理已经能够捕获的领域。规则生成的自动化、警报分类、分析效率的改进固然有意义，但对于从一开始就不会产生警报的攻击则存在局限。

不应只看事件，而要看“行为”

有分析认为，为缩小这一空白，需要一种能够解读“行为的连续性”而非单个事件的方法。安全团队所需的信号已经存在。系统间的关系、行为的顺序、访问模式的变化、随时间推移的进展形态，都可能揭示攻击意图。

例如，当攻击者试图通过加密通道在内部扩散时，痕迹并不在流量内容中，而是留存在访问方式的变化上。侧信道攻击虽然不直接显示数据，但却揭示了其结构。归根结底，关键不在于孤立的事件，而在于流程和上下文。

正因如此，认为仅凭预先定义的规则或人工编写的条件不足以支撑下一代检测系统的观点正变得更有说服力。需要的是通过学习结构化运营数据，甚至能够发现未事先定义模式的模型。讽刺的是，有评价指出，可能被用于侧信道攻击的深度学习方法，同样也能用于检测这些细微的流量模式。

安全投资标准也需改变

从安全负责人的角度来看，关键问题很明确：需要区分该AI系统是让基于规则的检测更有效率，还是能够全新检测到规则无法表达的行为本身。这两种方式都有其价值，但解决的问题不同。

对大多数组织而言，第一步并非添加新工具，而是冷静审视当前的检测策略实际上能看到多远。侦察阶段的微小动作、隐蔽的内部扩散、混杂在正常运营中的活动，被认为是特别容易出现重大空白的区域。

缩小检测空白不仅能加快响应速度。它能让组织更早地意识到“出问题了”。这有助于缩短攻击者在系统内的驻留时间、限制事件范围，并提高在攻击者达成目标前采取防御措施的可能性。同时，也有助于企业更准确地理解实际的风险暴露水平。

侧信道攻击不仅是一种新型技术，更揭示了在传统安全系统所未能审视的边界之外，也存在着重要信息。归根结底，并非AI制造了这个问题。它只是将此前被掩盖的检测局限更加清晰地暴露了出来。

TP AI注意事项 使用基于TokenPost.ai的语言模型对文章进行了摘要。文章的主要内容可能被省略或与事实不符。