【關(guān)于A(yíng)I助手安全使用的建議】CFCA聯(lián)合銀聯(lián)云計算中心發(fā)現AI助手安全漏洞

近日，中金金融認證中心（CFCA）與中國銀聯(lián)云計算中心攜手進(jìn)行前瞻性AI安全研究，揭示了當前具有聯(lián)網(wǎng)功能的AI助手可能存在新型安全隱患。研究發(fā)現，開(kāi)啟聯(lián)網(wǎng)搜索功能的AI大模型助手可能在特定條件下，向用戶(hù)返回含有隱蔽惡意代碼的內容，可能對用戶(hù)信息安全乃至重要業(yè)務(wù)系統構成潛在威脅。

CFCA提示廣大用戶(hù)尤其是軟件開(kāi)發(fā)者，在使用AI助手時(shí)，務(wù)必提高警惕，防范風(fēng)險。

具體而言，實(shí)現此類(lèi)攻擊需攻擊者預先針對特定問(wèn)題領(lǐng)域構造隱蔽內容（可以看作“埋雷”）。當用戶(hù)向AI助手提出與這些內容相關(guān)的問(wèn)題時(shí)，AI助手可能在不知情的情況下返回含有惡意指令或惡意代碼的響應。這些隱蔽的惡意代碼可被用于下載并執行病毒程序，尤其對使用AI進(jìn)行代碼生成、系統命令行操作等場(chǎng)景構成極大的安全風(fēng)險。研究團隊強調，此次發(fā)現僅為技術(shù)驗證，未實(shí)際傳播任何病毒，也未對任何真實(shí)用戶(hù)造成影響。但研究成果充分表明，目前流行的聯(lián)網(wǎng)AI助手都可能存在類(lèi)似的安全隱患，攻擊方式具備普遍有效性。

CFCA特別提醒廣大用戶(hù)：當使用AI助手處理代碼編寫(xiě)、計算機系統命令等敏感任務(wù)時(shí)，務(wù)必進(jìn)行人工檢查，避免因過(guò)度信任AI生成的內容而引發(fā)安全風(fēng)險。

近年來(lái)AI技術(shù)的迭代速度令人矚目，尤其在輔助編寫(xiě)代碼、提升開(kāi)發(fā)效率方面展現出巨大潛力。但開(kāi)發(fā)者在擁抱AI帶來(lái)的便利與高效的同時(shí)，絕不能忽視或繞過(guò)軟件工程長(cháng)期沉淀下來(lái)的科學(xué)方法與原則。嚴謹的需求分析、細致的設計、規范的編碼、嚴格的代碼審查、充分的單元測試與集成測試、以及持續的安全評估——這些軟件工程的基石，在A(yíng)I輔助開(kāi)發(fā)的時(shí)代不僅不應削弱，反而需要更加強調和落實(shí)。