《攻壳机动队》描述了大量机器技术深入发展的时代的犯罪形态,而早在《2010太空漫游》,新如《异形:契约》中也都有大量对“不友好”的人工智能的描述。当然这些都是对发展人工智能的风险的揣测,但其实在初期人工智能作为一种工具。虽然工具“本无善恶”,但当强大的人工智能为恶人掌握的时候,其“恶能”也更为强大!
今年9月,浙江绍兴警方宣布破获全国首例利用人工智能技术窃取公民个人信息的案件,截获了 10 亿余组公民个人信息。
关于上述案件的详细介绍老土转载如下文。
AI 开始进入我们的生活,栖息在智能音箱或者手机里的它们,是能够给你放音乐、陪聊天的助手,而在互联网的灰色地带里,它们也正成为犯罪分子的帮凶。
今年 9 月,浙江绍兴警方公布,破获全国首例利用人工智能技术窃取公民个人信息的案件,截获了 10 亿余组公民个人信息。
被警方查封的平台叫做「快啊」,曾经是市场上最大的打码平台。他们在破解、窃取、贩卖和盗用个人信息实施诈骗有着完整的链条,其中人工智能技术运用在识别验证码这个环节。
为什么 AI 会先学习识别验证码?
一般而言,黑产最初盗取的账号密码信息往往是「粗糙」的。但由于人们的同一个邮箱,通常也是多个网站的登陆账号,同样的密码往往也在多个网站使用。因此黑产会通过利用已有的账号密码信息,去批量尝试这些账号密码能否在更多不同的平台上登陆。(所以真的不要在多个网站使用同样的密码)
这个过程被称为「撞库」,而撞库的过程中最主要的障碍就是各个网站设置的验证码。
总是担心被盗号?淡定,搜索微信公众号爱范儿(微信号:ifanr), 后台回复「安全」,获取密码管理利器清单和防盗号指南。
黑产使用的 AI,就是用来应对这些验证码的。为什么 AI 会先学习识别验证码呢?我们先来解释一下验证码是什么。
当我们登陆网站、提交信息时,总能遇上验证步骤,尤其是在 12306 上买票时,对那些图片验证码真的是咬牙切齿。但事实上,验证码是各个网站用来对抗网络黑产恶意登陆等行为而设置的安全策略。
验证码的全名是「全自动区分计算机和人类的图灵测试」,由卡内基梅隆大学的路易斯 · 冯 · 安(Luis von Ahn)提出。图灵测试,顾名思义,验证码的目的,是为了识别网络请求的发起方是人类,亦或是机器。因此早期的验证码就是网站提出一些问题,这些问题不能被机器破解回答,又得能够被人类轻易答对。
网络黑产在撞库时,他们就会将所遇到的海量验证码「打码」任务,交给「打码平台」去完成。
根据腾讯守护者计划安全团队的介绍,网络黑产撞库时,与打码平台是这样合作的:
首先黑产把已窃取的帐号密码信息导入到撞库软件,撞库软件模拟登录协议,向互联网公司的服务器发送登录请求。服务器检测到登录异常时,会通过验证码来进行拦截;
撞库软件将收到的验证码图片发送给「打码平台」,请求将图片转化为字符。打码平台后台破解验证码,将字符结果返回给撞库软件,完成撞库流程,得到更多的用户信息。
随后这些信息可能被贩卖、用于诈骗犯罪等。
早期的打码平台,是通过众包让分布在各地电脑前的打码小工来完成的。后来进化到了「人工 + OCR 降维识别图片」。随着互联网公司对验证码识别难度的升级,「人工 + OCR 降维识别图片」的识别率在降低,因此像「快啊」这样的打码平台就开始运用 AI 技术训练机器,提高识别验证码的精度和效率。
随着安全防护与破解入侵两方面的抗衡日益升级,验证码的难度在增加,形式也在多样化。从简单的字母数字、算术题,到扭曲的字符、模糊的图片,这些被归类为知识性验证码;如今新一代的验证码已经开始向无知识型进化,例如 Google 的 reCAPTCHA,某些网站需要拖动滑条的验证步骤。
机器学习的发展,让字母、数字组成的知识性验证码被识别和破解的风险日渐增大,但这种验证码,依然是主流。据警方公布,这次抓捕的团伙所使用和训练的 AI,已经能够识别出 98% 以上的验证码。
上文中案件相关的内容摘自下面的帖子。
全国首例 AI 技术犯罪案背后,你的个人信息被最先盯上(http://www.ifanr.com/923886?utm_source=rss&utm_medium=rss&utm_campaign=)
