講真,駭客這種行當還是挺燒腦的。
根據那些頂尖駭客的血淚史,他們要搞定一個漏洞,絕非你想的那麼輕巧。這就像搞定一個妹子一樣,腦力上要謀劃各種策略,體力上要給出各種姿勢,是對腦力+體力的雙重考驗。
然而就是這樣一個一般小白望而興歎的“高壁壘”行業,居然出現了“搶生意”的,搶駭客生意的還不是別人,正是駭客自己研究出來的“機器駭客”。
這種大寫的作死,我有點兒服。
本文作者史中(微信:Fungungun),雷鋒網主筆,希望用簡單的語言解釋科技的一切。
(一)作死的“機器人駭客大賽”
前兩天,一幫“愛作死”的中國大牛們就搞了一次“機器人駭客大賽”(翻譯成逼格高的英語就是:Robo Hacking Game)。
這次比賽的最大看點倒不是機器人本身,而是同時有八支機器人隊伍和四支人類隊伍參加。這讓人們立刻聯想到了一年前阿法狗碾壓李世石的杯具。
這次比賽的 Slogan大概是“有怨報怨有仇報仇”。
為了證明這次比賽的正經性,我還是先說說它的組織者。
圖中分別為 360 安全專家李康(左)和永信至誠 CTO 張凱(右),還有冰露和防火門。
比賽的組織者有兩撥,
一撥是紅衣教主旗下的
360 安全專家
,以美國喬治亞大學電腦系終身教授兼 360 智慧安全專家
李康
為首。
另一波是來自“網路安全黃埔軍校”的教育機構
永信至誠(i春秋/e春秋)
的宅男們,以永信至誠 CTO ,英國雷丁大學海龜宅男
張凱
為首。
有了這些大咖墊底,這次比賽就不是那種土包子的自娛自樂,而是國際頂尖的人工智慧大咖們掐架的擂臺。不信你來看看參賽隊伍:
【機器人駭客大賽參賽隊伍】
其中有9支國內隊伍,3支海外隊伍。從名頭就能看出來,這些
知名學校或機構,大多屬於
“拿多少錢都混不進去”的類型。
下面雷鋒網來說說這次比賽的規則。
這次比賽的規則比較簡單,採用了經典的“CTF”模式。所謂 CTF(Capture The Flag),簡單來說就是駭客的“奧數”:
主辦方出幾十道題目,內容大體就是挖漏洞。誰解出來就可以用漏洞“懟”別人一下,懟了別人之後自己就能得分。誰的分高誰贏。
人機大戰、人人大戰和雞雞大戰整整進行了一整天。不知道你有沒有猜到結果:
人類戰隊 Mirage 奪得第一,而機器人戰隊 Tinker 取得了第二名的成績,後面的名次人類駭客略佔先。
【機器人駭客大賽最終排名】
這個成績,也算是為李世石報了一箭之仇。
不過,平胸而論,這個挖漏洞和下圍棋的兩種機器人究竟有沒有可比性呢?我專門找到了這次比賽的兩位技術負責人李康和張凱問了一下。
(二)機器人駭客還是有點“天真”
老司機們可能都知道,其實這不是第一次人類駭客和機器駭客同場競技了。
說個往事吧:
每年全球最受矚目的駭客大賽莫過於在美國賭城拉斯維加斯舉辦的 DEFCON CTF,2016年的比賽裡,就引入了一支機器人隊伍。這只隊伍名叫 Mayhem,來頭不小。它先是在美國國防部舉辦的機器人駭客比賽 CGC 上碾壓其他機器人拿到了第一名,然後才有資格到 DEFCON 和人類選手一較高下的。
那次比賽的結果是,Mayhem 墊底。
往事回首完畢。
常年和美國各個頂尖大學切磋的李康說,雖然那次比賽機器人墊底,但並不能說它的真實水準就是最差的。因為這種比賽就像打牌一樣,不僅考驗你的牌好不好,還要考驗你的出牌策略。
機器在挖漏洞上有自己的優點,有時候還能解出很難的題目,
但人類這幫老油條,最會玩心眼。電腦好不容易解出一道題,用來攻擊人類隊伍,不一會就被人類隊伍用“重放攻擊”的方法抄了去,然後再反咬一口。
他說。
相比之下,機器人還是有點天真,而且吃了啞巴虧還不會罵髒話。
不過,張凱覺得機器策略上的失利只是暫時的。
我看到排名第一名站隊反應是非常非常迅捷的,他們總結了賽題的特點,很快就開始利用規則刷分。這是人類佔先的地方。但機器人沒有加入這樣策略,如果這個比賽形式成為一個標準,多次使用的話,適應這個策略的機器人一定會出現,那個時候成績肯定有更大飛躍,會更有說服力。
當然,上述這些只是機器人的策略失誤,那麼純粹就挖掘漏洞的能力來說,機器人怎麼樣呢?
圖為組委會在4月27日組織的另一場人類駭客對抗賽,有兩支參賽隊伍成功吸引了我的注意力,一支叫做:孕婦防護服,一支叫做:蜂花護髮素糊孕婦防護服。最終,孕婦防護服隊成功擊敗蜂花護髮素糊孕婦防護服隊取得了冠軍。
(三)機器人駭客強在哪,弱在哪?
先說個兩背景知識:
1、全世界的人工智慧都有一個強項:大規模計算能力。
這就使得機器人駭客可以同時對付幾個賽題,並且像學霸奧數冠軍一樣有可能解出最難的題。比賽的過程也印證了這一點。
2、全世界的人工智慧都有一個共同的弱點,怕選擇。
一旦遇到多層級的選擇判斷(也就是複雜的局面),就要消耗大量的計算資源,此時機器的表現就是“懵逼”。
而面對複雜的局面,人往往能迅速把情況在心中簡化,用大腦十幾瓦的能耗就算出一個差不離兒的結果,這種表現我們叫“直覺”。
當然,電腦的算力越強,懵逼的機會就相對少一些。
這次機器人駭客大賽組委會給每個隊伍發了一台伺服器,這台伺服器的計算能力有多強呢?我們做個比較吧。
之前提到的美國 CGC 機器人駭客大賽給每個隊伍一台超算,租用價格是五十萬,美元。
這次中國的機器人駭客大賽給每個隊伍發的伺服器,購買價格是兩萬,人民幣。
別激動,畢竟是社會主義初級階段。好在所有機器人都是小米加步槍,挺平等的。等等,相比之下那些人類團隊可是動輒就十幾號人,這怎麼解釋?李康和張凱這兩位技術大咖也羞赧地表示這稍微有點不公平。
(四)機器人駭客還是在“棋盤上舞蹈”
從本質上來說,機器人駭客和阿法狗還是不同的。
簡單來說下不同點。
阿法狗
下的是圍棋,它的“功力”來自於對無數棋譜資料的研究,它的知識來源甚至包括自己和自己下棋產生的資料,是典型的基於大資料的人工智慧,特點是可以自我進化。
機器人駭客
面對的是比圍棋更加複雜的環境,而代碼在各個維度會出現各個漏洞。在這個方面人類自己都還沒搞得很清楚,所以沒有辦法提供足夠的資料。所以,機器人駭客更像是一個專家系統,也就是有經驗的駭客教會機器怎麼挖漏洞,機器就聽話地不斷去努力。但是沒有人力幫助,它絕不可能自我進化。
簡單來說,挖漏洞比下圍棋更難。
但是,任何難的事情,都是從簡單開始的。360 和永信至誠搭建的這個比賽環境,其實是對現實世界做了簡化,讓賽題像棋盤一樣具有了“邊界”。
張凱說:“我們的題目規定了在什麼系統上什麼樣的賽題,有多少種漏洞,機器人要運行在什麼樣的環境下。
這就是“棋盤的邊界”。
圖為和阿法狗下棋時的李世石,李世石內心OS:“你弄啥嘞?”
(五)機器人駭客相當於什麼 level 的人類駭客?
說了這麼多,機器人駭客的水準究竟怎麼樣呢?
在安全圈內有個流言:真正能挖漏洞會利用的才是真正的駭客,是在金字塔頂端的一批人。曾經有個大牛說過,如果說現在圈內有10萬的安全工程師的話,能做漏洞挖掘和漏洞利用的肯定不會超過一萬。
張凱說:“很多駭客小白還大都停留在使用已有工具和社工的方式層面,當然這也是安全的一部分,但漏洞挖掘和利用永遠是資訊安全皇冠上的明珠。”
從這個角度上來說,能挖掘漏洞的駭客能力已經遠遠超過了小白。
李康覺得,現在扔一個程式進去,完全“可以替代初級安全人員”。
就像富士康工人被機器取代一樣,初級駭客也是可以被機器取代的。學藝不精的駭客小白們可以再體會一下這部分,鞭策一下自己。
圖為1997年,美國人屏氣凝神觀看深藍和卡斯帕羅夫的圍棋人機大戰,卡斯帕羅夫痛苦的表情讓人心碎。
(六)“機器人駭客”是否會打敗“人類駭客”?
剛才所說的一切,其實都規避了一個重要的現實,那就是人和機器一直是沒有分開的。
李康說,機器人駭客大賽本質上和阿法狗對戰李世石不一樣。李世石下棋的時候,根本沒有利用任何電腦做輔助;機器人駭客和人類駭客的對戰中,人類駭客卻一直在利用駭客工具和電腦輔助自己。簡單來說,
機器它一定是個機器,人他不一定是個人。
從這個角度來說,這個比賽還真有點不公平。
但這不重要,電腦駭客誕生的目的顯然不是為了和人類爭高下。
李康覺得,“安全自動化”正是為了彌補網路安全的人才缺口。一旦有一種新的防禦駭客方法產生,電腦可以迅速把這種方法鋪開,反映極為迅猛。未來如果我們能得到更安全的網路環境,一定是因為我們很大程度上依賴了機器的自動防護。
簡單來說,“人類駭客+機器駭客”才是未來相當長一段時間內駭客的正確打開方式。這次比賽的標題被定為“一小步”。它昭示著,至少機器已經能和人類同台競技了。
從1960年開始,就有科學家不斷嘗試用人工智慧和人類下棋;
直到1997年,深藍才第一次在國際象棋比賽中戰勝卡斯帕羅夫;
直到2016難,阿法狗才第一次在圍棋比賽中戰勝李世石。
很多人認為,即使人類被允許利用人工智慧輔助自己,也無法在圍棋中贏下阿法狗,因為人類的智商只會拉低人工智慧的決策水準。
我問李康,你是否相信未來純機器人駭客會戰勝人類駭客和機器駭客的組合?
他說,我相信。
本文作者史中(微信:Fungungun),雷鋒網主筆,希望用簡單的語言解釋科技的一切。題圖為機器人駭客大賽比賽頁面。
本文部分觀點引述自李康和張凱,在此致謝。