五眼聯盟今次嘅警告,如果只理解成「AI令黑客更加犀利」,其實低估咗件事嘅嚴重性。真正值得注意嘅唔係黑客變強,而係攻防之間嘅基本邏輯開始逆轉。點解五眼聯盟會用「數月」而唔係「數年」呢個字眼?因為佢哋睇到嘅,已經唔係一個未來風險,而係一個正在發生緊嘅變化。
最近包括Anthropic推出嘅新一代AI Coding Model,以及其他前沿模型嘅測試結果出現之後,大家開始發現一個以前冇人認真思考過嘅問題。AI Coding嘅本質係幫人寫程式,但要寫好程式,首先要識得搵程式嘅錯。佢要知道邊度有漏洞,邊度有邏輯矛盾,邊度會出現權限繞過,邊度可能造成系統崩潰。換句話講,一個愈識寫安全程式嘅AI,其實亦愈識搵出唔安全嘅程式。防守能力同攻擊能力,本質上係同一種能力,只係方向相反。呢個正正係五眼聯盟最擔心嘅地方。
大家要明白,一套大型軟件系統唔係今日寫完今日用。尤其係銀行、政府、醫院、航空公司呢類核心系統,好多都係二十年、三十年甚至四十年前建立。最初有一個基礎,之後不停修改、不停加功能、不停加模組、不停接駁新系統。好似一座城市咁,原本只係一條村,之後起道路、起商場、起地鐵、起高樓,最後變成一個超大型都市。問題係冇人可以完全理解成個城市每一條地下水管、每一條電纜、每一條污水渠。軟件系統其實都一樣。
今日銀行入面負責某個系統嘅工程師,未必知道二十年前點樣設計;今日政府部門入面負責維護嘅人,未必見過最原始版本嘅程式碼。甚至好多原作者已經退休,公司已經結業,外判商已經換咗幾輪。於是大量邏輯矛盾、權限漏洞、流程漏洞,其實一直存在。唔係冇漏洞,而係冇人搵到。過去三十年,呢啲漏洞之所以安全,唔係因為佢哋不存在,而係因為發現成本太高。
以前一個黑客要睇幾百萬行程式碼,要理解十幾個系統之間點樣互相連接,要理解銀行流程,要理解業務邏輯,成本非常高。所以好多漏洞可以隱藏十年、二十年甚至三十年。呢啲漏洞其實一直喺度,只係冇人有能力全面盤點。大家可以將呢啲漏洞理解成埋藏喺地下嘅地雷。地雷唔係今日先放落去,而係幾十年前已經存在,只不過一直冇人踩中。
但AI出現之後,情況開始改變。AI最擅長做嘅事,正正係閱讀大量資料、分析關聯性、找出前後不一致。對AI嚟講,三百萬行程式碼唔算多,三十年歷史唔算耐,十個系統同時分析亦唔困難。佢可以二十四小時不停工作,唔會疲倦,唔會漏睇,唔會因為工程師離職而中斷知識傳承。於是過去三十年冇人發現嘅漏洞,開始被大量挖掘出嚟。呢個先係真正恐怖嘅地方。
所以五眼聯盟今次警告,實際上唔係講AI正在創造新漏洞,而係AI正在發現舊漏洞,而且係大規模發現、高速發現、自動化發現。如果將過去三十年累積落嚟嘅漏洞比喻成埋藏地下嘅地雷,以前黑客可能一個月先搵到一粒,而家AI可能一日搵到幾十粒甚至幾百粒。問題即刻唔同晒。
更加致命嘅係防守方嘅速度。當AI用幾個鐘頭發現漏洞之後,理論上幾個鐘頭內已經可以生成攻擊方法。但銀行修補漏洞需要幾耐?可能兩個星期,可能一個月,甚至三個月。因為要測試、要驗證、要確保唔影響其他系統、要等供應商更新、要等董事局批預算、要等維護窗口。尤其係大型企業同政府部門,唔可能今日發現漏洞,聽日就全面升級。佢哋每一次更新都牽一髮動全身。
於是出現一個非常危險嘅現象:攻擊方用小時計,防守方用月計。攻擊方嘅能力增長速度,以AI運算能力作為基礎;防守方嘅能力增長速度,卻仍然受制於人手審批、組織架構、預算流程同埋兼容性測試。呢個tempo一旦拉開,問題就唔再係單一漏洞,而係整個制度開始跟唔上技術進步。
呢個就係五眼聯盟真正驚嘅嘢。佢哋唔係驚某個天才黑客,而係驚整個攻防經濟學開始失衡。當攻擊成本跌九成,防守成本升十倍,市場自己已經解決唔到問題。因為企業永遠有誘因拖延。今年唔改,出年先改;預算下次先批;系統再頂一年。每一間企業都會咁諗。但當成個社會都咁諗,風險就會累積到系統層面。
所以今次五眼聯盟聯合發聲,最值得留意嘅唔係技術部分,而係政治部分。因為佢哋其實已經得出一個結論:呢個問題唔可以再交俾企業自己解決。企業嘅反應速度太慢,企業嘅決策機制太保守,企業永遠會先考慮成本,再考慮風險。但當風險上升到金融體系、醫療體系、能源體系、政府體系層面,問題已經唔再係企業風險,而係國家風險。
銀行系統被攻破,影響嘅唔係銀行,而係金融體系;醫院被攻破,影響嘅唔係醫院,而係公共安全;政府系統被攻破,影響嘅唔係某個部門,而係整個社會運作。當風險上升到呢個層次,網絡安全就唔再係IT問題,而係國家安全問題。所以五眼聯盟今次聯合發聲,實際上係要求政府介入,要求監管機構介入,要求國家安全體系介入。因為如果再依靠個別企業慢慢補漏洞,慢慢更新系統,可能已經追唔上AI推動嘅攻擊能力增長速度。
所以五眼聯盟今次真正發出嘅訊息其實係:AI並唔係創造一個全新威脅,AI只係突然令全世界發現,原來過去三十年累積落嚟嘅技術債,比所有人想像中更加龐大。以前冇爆,只係因為冇人有能力全面盤點;而家AI開始有呢個能力。因此五眼聯盟擔心嘅唔係十年後,而係未來幾個月。因為當攻擊方開始用AI盤點全世界嘅漏洞,而防守方仲用舊年代嘅速度慢慢更新系統,攻防天平就已經唔係傾斜咁簡單,而係開始翻轉。
