您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
政企安全 正文
发私信给史中
发送

0

“机器人黑客”和“人类黑客”,究竟谁更牛X?

本文作者: 史中 2017-04-28 12:05
导语:你会发现这个问题并不难回答。

讲真,黑客这种行当还是挺烧脑的。

根据那些顶尖黑客的血泪史,他们要搞定一个漏洞,绝非你想的那么轻巧。这就像搞定一个妹子一样,脑力上要谋划各种策略,体力上要给出各种姿势,是对脑力+体力的双重考验。

然而就是这样一个一般小白望而兴叹的“高壁垒”行业,居然出现了“抢生意”的,抢黑客生意的还不是别人,正是黑客自己研究出来的“机器黑客”。

这种大写的作死,我有点儿服。

“机器人黑客”和“人类黑客”,究竟谁更牛X?

本文作者史中(微信:Fungungun),雷锋网主笔,希望用简单的语言解释科技的一切。


(一)作死的“机器人黑客大赛”

前两天,一帮“爱作死”的中国大牛们就搞了一次“机器人黑客大赛”(翻译成逼格高的英语就是:Robo Hacking Game)。

这次比赛的最大看点倒不是机器人本身,而是同时有八支机器人队伍和四支人类队伍参加。这让人们立刻联想到了一年前阿法狗碾压李世石的杯具。

这次比赛的 Slogan大概是“有怨报怨有仇报仇”。

为了证明这次比赛的正经性,我还是先说说它的组织者。

“机器人黑客”和“人类黑客”,究竟谁更牛X?

图中分别为 360 安全专家李康(左)和永信至诚 CTO 张凯(右),还有冰露和防火门。

比赛的组织者有两拨,

一拨是红衣教主旗下的 360 安全专家,以美国乔治亚大学计算机系终身教授兼 360 智能安全专家李康为首。

另一波是来自“网络安全黄埔军校”的教育机构永信至诚(i春秋/e春秋)的宅男们,以永信至诚 CTO ,英国雷丁大学海龟宅男张凯为首。

有了这些大咖垫底,这次比赛就不是那种土包子的自娱自乐,而是国际顶尖的人工智能大咖们掐架的擂台。不信你来看看参赛队伍:

“机器人黑客”和“人类黑客”,究竟谁更牛X?

【机器人黑客大赛参赛队伍】

其中有9支国内队伍,3支海外队伍。从名头就能看出来,这些知名学校或机构,大多属于“拿多少钱都混不进去”的类型。

下面雷锋网来说说这次比赛的规则。

这次比赛的规则比较简单,采用了经典的“CTF”模式。所谓 CTF(Capture The Flag),简单来说就是黑客的“奥数”:

主办方出几十道题目,内容大体就是挖漏洞。谁解出来就可以用漏洞“怼”别人一下,怼了别人之后自己就能得分。谁的分高谁赢。

人机大战、人人大战和鸡鸡大战整整进行了一整天。不知道你有没有猜到结果:

人类战队 Mirage 夺得第一,而机器人战队 Tinker 取得了第二名的成绩,后面的名次人类黑客略占先。

“机器人黑客”和“人类黑客”,究竟谁更牛X?

【机器人黑客大赛最终排名】

这个成绩,也算是为李世石报了一箭之仇。

不过,平胸而论,这个挖漏洞和下围棋的两种机器人究竟有没有可比性呢?我专门找到了这次比赛的两位技术负责人李康和张凯问了一下。

(二)机器人黑客还是有点“天真”

老司机们可能都知道,其实这不是第一次人类黑客和机器黑客同场竞技了。

说个往事吧:

每年全球最受瞩目的黑客大赛莫过于在美国赌城拉斯维加斯举办的 DEFCON CTF,2016年的比赛里,就引入了一支机器人队伍。这只队伍名叫 Mayhem,来头不小。它先是在美国国防部举办的机器人黑客比赛 CGC 上碾压其他机器人拿到了第一名,然后才有资格到 DEFCON 和人类选手一较高下的。

那次比赛的结果是,Mayhem 垫底。

往事回首完毕。

常年和美国各个顶尖大学切磋的李康说,虽然那次比赛机器人垫底,但并不能说它的真实水平就是最差的。因为这种比赛就像打牌一样,不仅考验你的牌好不好,还要考验你的出牌策略。

机器在挖漏洞上有自己的优点,有时候还能解出很难的题目,但人类这帮老油条,最会玩心眼。计算机好不容易解出一道题,用来攻击人类队伍,不一会就被人类队伍用“重放攻击”的方法抄了去,然后再反咬一口。

他说。

相比之下,机器人还是有点天真,而且吃了哑巴亏还不会骂脏话。

不过,张凯觉得机器策略上的失利只是暂时的。

我看到排名第一名站队反应是非常非常迅捷的,他们总结了赛题的特点,很快就开始利用规则刷分。这是人类占先的地方。但机器人没有加入这样策略,如果这个比赛形式成为一个标准,多次使用的话,适应这个策略的机器人一定会出现,那个时候成绩肯定有更大飞跃,会更有说服力。

当然,上述这些只是机器人的策略失误,那么纯粹就挖掘漏洞的能力来说,机器人怎么样呢?

“机器人黑客”和“人类黑客”,究竟谁更牛X?

图为组委会在4月27日组织的另一场人类黑客对抗赛,有两支参赛队伍成功吸引了我的注意力,一支叫做:孕妇防护服,一支叫做:蜂花护发素糊孕妇防护服。最终,孕妇防护服队成功击败蜂花护发素糊孕妇防护服队取得了冠军。

(三)机器人黑客强在哪,弱在哪?

先说个两背景知识:

1、全世界的人工智能都有一个强项:大规模计算能力。

这就使得机器人黑客可以同时对付几个赛题,并且像学霸奥数冠军一样有可能解出最难的题。比赛的过程也印证了这一点。

2、全世界的人工智能都有一个共同的弱点,怕选择。

  • 一旦遇到多层级的选择判断(也就是复杂的局面),就要消耗大量的计算资源,此时机器的表现就是“懵逼”。

  • 而面对复杂的局面,人往往能迅速把情况在心中简化,用大脑十几瓦的能耗就算出一个差不离儿的结果,这种表现我们叫“直觉”。

当然,计算机的算力越强,懵逼的机会就相对少一些。

这次机器人黑客大赛组委会给每个队伍发了一台服务器,这台服务器的计算能力有多强呢?我们做个比较吧。

之前提到的美国 CGC 机器人黑客大赛给每个队伍一台超算,租用价格是五十万,美元。

这次中国的机器人黑客大赛给每个队伍发的服务器,购买价格是两万,人民币。

“机器人黑客”和“人类黑客”,究竟谁更牛X?

别激动,毕竟是社会主义初级阶段。好在所有机器人都是小米加步枪,挺平等的。等等,相比之下那些人类团队可是动辄就十几号人,这怎么解释?李康和张凯这两位技术大咖也羞赧地表示这稍微有点不公平。

(四)机器人黑客还是在“棋盘上舞蹈”

从本质上来说,机器人黑客和阿法狗还是不同的。

简单来说下不同点。

阿法狗下的是围棋,它的“功力”来自于对无数棋谱数据的研究,它的知识来源甚至包括自己和自己下棋产生的数据,是典型的基于大数据的人工智能,特点是可以自我进化。


机器人黑客面对的是比围棋更加复杂的环境,而代码在各个维度会出现各个漏洞。在这个方面人类自己都还没搞得很清楚,所以没有办法提供足够的数据。所以,机器人黑客更像是一个专家系统,也就是有经验的黑客教会机器怎么挖漏洞,机器就听话地不断去努力。但是没有人力帮助,它绝不可能自我进化。

简单来说,挖漏洞比下围棋更难。

但是,任何难的事情,都是从简单开始的。360 和永信至诚搭建的这个比赛环境,其实是对现实世界做了简化,让赛题像棋盘一样具有了“边界”。

张凯说:“我们的题目规定了在什么系统上什么样的赛题,有多少种漏洞,机器人要运行在什么样的环境下。

这就是“棋盘的边界”。

“机器人黑客”和“人类黑客”,究竟谁更牛X?

图为和阿法狗下棋时的李世石,李世石内心OS:“你弄啥嘞?”

(五)机器人黑客相当于什么 level 的人类黑客?

说了这么多,机器人黑客的水平究竟怎么样呢?

在安全圈内有个流言:真正能挖漏洞会利用的才是真正的黑客,是在金字塔顶端的一批人。曾经有个大牛说过,如果说现在圈内有10万的安全工程师的话,能做漏洞挖掘和漏洞利用的肯定不会超过一万。

张凯说:“很多黑客小白还大都停留在使用已有工具和社工的方式层面,当然这也是安全的一部分,但漏洞挖掘和利用永远是信息安全皇冠上的明珠。”

从这个角度上来说,能挖掘漏洞的黑客能力已经远远超过了小白。

李康觉得,现在扔一个程序进去,完全“可以替代初级安全人员”。

就像富士康工人被机器取代一样,初级黑客也是可以被机器取代的。学艺不精的黑客小白们可以再体会一下这部分,鞭策一下自己。

“机器人黑客”和“人类黑客”,究竟谁更牛X?

图为1997年,美国人屏气凝神观看深蓝和卡斯帕罗夫的围棋人机大战,卡斯帕罗夫痛苦的表情让人心碎。

(六)“机器人黑客”是否会打败“人类黑客”?

刚才所说的一切,其实都规避了一个重要的现实,那就是人和机器一直是没有分开的。

李康说,机器人黑客大赛本质上和阿法狗对战李世石不一样。李世石下棋的时候,根本没有利用任何计算机做辅助;机器人黑客和人类黑客的对战中,人类黑客却一直在利用黑客工具和计算机辅助自己。简单来说,机器它一定是个机器,人他不一定是个人。

从这个角度来说,这个比赛还真有点不公平。

但这不重要,计算机黑客诞生的目的显然不是为了和人类争高下。

李康觉得,“安全自动化”正是为了弥补网络安全的人才缺口。一旦有一种新的防御黑客方法产生,计算机可以迅速把这种方法铺开,反映极为迅猛。未来如果我们能得到更安全的网络环境,一定是因为我们很大程度上依赖了机器的自动防护。

简单来说,“人类黑客+机器黑客”才是未来相当长一段时间内黑客的正确打开方式。这次比赛的标题被定为“一小步”。它昭示着,至少机器已经能和人类同台竞技了。

从1960年开始,就有科学家不断尝试用人工智能和人类下棋;

直到1997年,深蓝才第一次在国际象棋比赛中战胜卡斯帕罗夫;

直到2016难,阿法狗才第一次在围棋比赛中战胜李世石。

很多人认为,即使人类被允许利用人工智能辅助自己,也无法在围棋中赢下阿法狗,因为人类的智商只会拉低人工智能的决策水平。

我问李康,你是否相信未来纯机器人黑客会战胜人类黑客和机器黑客的组合?

他说,我相信。

“机器人黑客”和“人类黑客”,究竟谁更牛X?

本文作者史中(微信:Fungungun),雷锋网主笔,希望用简单的语言解释科技的一切。题图为机器人黑客大赛比赛页面。

本文部分观点引述自李康和张凯,在此致谢。

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

编辑

雷锋网编辑,关注科技人文,安全、黑客及芯片。
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说