政府、企业，甚至个人电脑均陷入AI黑客对抗战。

人工智能（AI）近年在各行各业的应用可谓无孔不入，它更成为黑客手上的利剑，令政府、企业，甚至个人电脑均陷入AI黑客对抗战。网络保安业界发现，利用AI整合网上资料，从而度身定造的钓鱼电邮今年上半年增加两成半，企业电邮稍有不慎，随时中招。黑客在AI协助下可全天候测试系统漏洞，并识别保安专家设下的「陷阱」。专家更担心，随着AI黑客工具愈趋成熟，保安专家在「人机大战」中难保胜算。

「钓鱼式攻击」是近年黑客的常用伎俩，黑客将大量发出含有恶意软件的电邮，一旦收件者不虞有诈，打开内文的附件，或通过超连结登入不明网站，将引致个人资料外泄，甚至是电脑被安装勒索软件，须缴付「赎金」才可解锁。然而，随着AI的发展，我们在社交网站的帖文及留言，配合在网上的公开资料，足以成为黑客的有用数据，度身定造编写骗局。

黑客在AI协助下可全天候测试系统漏洞，并识别保安专家设下的「陷阱」。设计图片

资讯科技保安公司趋势科技香港及澳门区顾问总监李浩然留意到，配合AI的钓鱼式攻击最近愈见成熟，在今年上半年相关的诈骗电邮增加两成半。他解释，过去钓鱼电邮的制作方式单一且缺乏针对性，容易被人识破，但在AI的协助下，系统会从海量的电邮地址中，搜寻相关的社交媒体帐户，分析其用字方式、个人嗜好，甚至是公司的人际网络，从而制作出既人性化又生活化的电邮，「只要收件者戒心愈低，钓鱼电邮的成功率就愈高。」

李浩然认为，只要黑客令AI掌握度身定造钓鱼电邮的方法，系统将有能力24小时搜寻公开资料最详尽的用家进行攻击，增加入侵成功率，其中以涉及金钱交易的商业电邮地址风险最高，「AI找到你的工作联系人之后，可以假扮成你公司长期生意接洽人，声称银行帐户有变，要求将资金转帐至另一个户口，整个文字内容可以装扮到与当事人几乎一模一样。」

除了制作钓鱼电邮，AI亦加快黑客搜索网页及系统漏洞的速度，增加攻击效率。华尔基利信息安全研究组织电脑安全研究员赖灼东表示，AI省却黑客以人手进行攻击的时间，「只要根据攻击结果，改变AI运作方式，经过不断的尝试，就可以找到入侵点。」资讯保安公司Nexusguard Consulting行政总裁庞博文亦留意到，现时大部分准确性攻击均属自动化，以AI进行的攻击愈趋频繁，占近两成半。

保安专家过去惯常为系统设立伪装成有利用价值的网络、资料或电脑系统，实为侦测黑客攻击的「蜜罐」（honeypot），不过，互联网协会网络保安及私隐工作组召集人杨和生亦知悉，已有黑客利用AI协助分析潜在「蜜罐」，免堕「假漏洞」陷阱，防止被「反入侵」或「反监控」。

英国剑桥大学生存风险研究中心去年2月发表的《人工智能的恶意使用》报告更进一步指出，黑客将来可同时操控多个AI入侵工具，增加攻击规模。此外，缺乏IT知识的普通人日后亦可轻易取得AI入侵工具，进行自动化的网络攻击，所有人未来难免要面对AI黑客的挑战，呼吁政府及科研业界联手面对挑战。

黑客使用AI愈见普及，网络保安业界同样以AI还击。庞博文指出，AI的搜索速度无人能及，除了可快速从大范围中找出技术漏洞，亦能快速作出对比，进行渗透测试，「即使有很多位顶尖的保安专家同时工作，都不可能如AI那么快找出漏洞。」庞博文以信用卡付款为例，由于交易过程中涉及不同媒介及程序，只要有一个国家或地区欠缺基本的漏洞扫描，便令AI黑客有机可乘，「他们利用AI快速找出漏洞，盗取大量信用卡资料后，再放上暗网出售。」

针对钓鱼电邮，李浩然以其公司提供的解决方案为例，系统通过收集与企业紧密联系的客户电邮，分析用家撰写商业电邮的习惯，包括字句长短、标点符号应用及专用术语的使用量等。他相信，由于黑客只能掌握部分资料，其AI的分析结果难以跟拥有完整数据的企业媲美，「以前辨识钓鱼电邮的方法，主要靠电邮服务商找出将相同内容的电邮大量寄出的帐户，新方法只要电邮有涉及转帐等敏感字眼，系统都会十分审慎。」

然而，有业界认为「道高一尺，魔高一丈」的情况，正好说明网络保安与黑客利用AI进行网络攻防战的现况。赖灼东认为，对于已知的攻击模式，AI往往能快速回应，但对于较罕见、隐性、具加密功能的攻击，AI的反应力明显较弱，「目前我们防守黑客仍要依赖人的经验，并需要了解最新威胁情报，知道黑客最近增加使用的入侵方式。」

庞博文续说，虽然目前AI的操作不如人脑般灵活变通，仍要按既有模式「出牌」，「但假以时日AI发展更成熟，难保老千计将成状元才。」庞博文估计，当量子电脑普及化，将更有利同时运算多个系统的AI技术，「届时电影《未来战士》被机械人主导世界一幕好可能会发生。」中大工程学院副院长黄锦辉亦以围棋机械人AlphaGo在一六年击败韩国顶尖职业棋士李世为例，如黑客入侵演变成「人机大战」，他认为人脑长远难以跟AI比较。