追劇也不能忘記學習:《西部世界》對網絡安全的寓言意義
美國HBO電視網出品的《西部世界》(Westworld)雖然故事情節設定在未來,但卻是對當今網絡安全的一個寓言。
在槍林彈雨的網絡安全世界中,到處都危機四伏。運營現代企業有時候就像在狂野西部(Wild West)最陰暗的地方開酒吧一樣危險重重。實際上,西部牛仔時代和現代網絡安全問題之間的相似之處非常多,HBO電視網出品的《西部世界》就完美地證實了這一點。
如果你還沒有看過《西部世界》這部美劇,那么由我簡單給你介紹一下故事情節:有這么一個地方,與我們相處的世界一模一樣,只不過,在這里你可以為所欲為,燒殺搶掠,縱欲殺人,條件是你花錢買入場券就行。
西部世界中的游客們在這個游樂園里的一切行為都是無罪的,因為樂園里的接待員全都是人工智能的機器人,他們就像網絡游戲中的NPC,供玩家開戰故事而設。盡管他們與真人幾乎沒有差別,一樣會痛、會哭、會笑,但他們以及發生在他們身上的一切卻都是假的,他們的行為表現都只是創造者們輸入進去的既定程序,其本質不過是供人玩樂的機器人。他們每天的生活都是按照寫好的劇本進行的,第二天,之前的記憶就會被清除,一切劇情都跟昨天一樣。日復一日重復著悲慘的劇情,如果說變化,也只有新的游客用來折磨他們的方式各有不同而已。
聽起來確實有種“腦洞大開”的感覺,但你知道嗎?其實,西部世界遭受的問題與當今網絡安全專業人士所面臨的問題極為相似。實際上,西部世界的缺陷正是應對當今最危險的數字威脅的有用寓言。
1. 身份識別
如果您的企業在驗證身份方面遇到了困難,那么您并不孤單:西部世界樂園中也存在同樣的問題。
畢竟,我們都以為自己知道夏洛特·黑爾(Charlotte Hale,西部世界董事會執行董事)是誰,但事實證明,她在第二季一開始就被機器人版本的“自己”殺死了。事情是這樣的,伯納德通過德洛麗絲 · 艾伯納西的意識球(相當于存儲機器人記憶的優盤),將德妹的心智植入了和黑爾長得一模一樣的機器人系統中,塑造了一個德妹版本的黑爾,最終,德妹版的黑爾干掉了真正的人類黑爾,并頂替了她。然后是伯納德(也是機器人),其實際上是西部世界中的早期創造者之一阿諾德(Arnold),他也死了。
如果你不理解我的意思,請想象一下,日復一日,來自合法和非法用戶的數百萬個訪問請求會為你的系統造成怎樣的認證負擔,它是否會產生混淆?
憑據不會減少:在當今的威脅環境中,憑據非常容易被盜。相反地,準確識別用戶(或機器人)的最佳選項是依靠驗證的組合,例如多因素身份驗證、行為生物識別(包括語音識別、鍵入模式、鼠標移動等等)以及瀏覽器和IP信息等。
如果一個系統在第二季中通過多種驗證組合分析了黑爾的身份,它就會發現,即便該機器人看上去與黑爾無異,但事實卻并非如此。同樣地,即便攻擊者復制了一個驗證身份信息,也幾乎不可能復制所有驗證組合。
2. 人工智能(AI)法規
《西部世界》的吸引力之一就是它對于人性的深度探索和思考。如果說我們的意識是個性的癥結所在,其最內核的意識終究是趨利避害的利己主義,那么,在一個可以隨意構造、更改、下載、上傳和銷毀的意識世界中,我們可以不遵循法律法規、倫理道德的約束,那么人類展現出現的還是這樣貪婪卑劣的一面嗎?到底會發生什么呢?這個問題嚴重困擾著西部世界創造者阿諾德(Arnold)的良心,并且最終決定了他的滅亡。
在西部世界中,人類與人造意識(即人工智能)之間的糾纏不容易解決;在現實世界中,又何嘗不是如此呢。2017年,Elon Musk呼吁對人工智能(AI)進行監管,以免對人類構成威脅。但是,考慮到法規會阻礙技術創新的步伐,所以美國國會對AI立法采取了“觀望”的態度。結果是到目前為止,AI著實實現了技術上的創新,但是在沒有嚴格的法規、標準和要求的情況下,也催生了利用機器學習和AI開發“deepfakes”欺詐技術的行為。
我認為,規范AI的一種實用方法是使用現有的數據隱私法,并將其擴展或復制以覆蓋機器學習和AI。
3. 威脅和漏洞
在《西部世界》中,即便是最先進的機器人也容易受到惡意軟件的攻擊。但是,最有趣的也許是,劇中所展示的威脅很容易被視為現代網絡安全威脅的一個寓言:
內部威脅:《西部世界》的一名程序員埃爾西(Elsa)在一個機器人接待員體內發現了一個基于激光的衛星上行鏈路,有人正使用這些接待員將樂園的數據傳送出去。后經調查發現,往外發射數據的正是公司質保部門主管特蕾莎·卡倫。
持續存在的高級威脅:機器人領袖梅芙(Maeve)利用西部世界的技術人員Felix和其他機器人一起發動起義,因為有人在梅芙體內植入了出逃程序,讓其以預先設定的叛亂活動逃離西部世界。
惡意代碼:在酒吧工作的機器人接待員克萊門汀(Clementine)被更新了新的代碼變成了“行走的病毒”,隨意散播病毒,只需要通過網絡發送想法,Clementine就能夠命令未覺醒的機器人們殘忍地互相殺害。
物聯網漏洞:在第三季的首映式中,德妹闖入了一個億萬富翁的智能住宅中,這使得房屋不再對主人的命令做出反應。劇中沒有明確表明智能家居是否受到不安全的網絡服務,生態系統接口或默認設置的損害,但Dolores確實能夠迅速地控制住它們。
啟示
我們可以從上述威脅和脆弱性以及西部世界中出現的身份認證問題和AI難題中學到什么呢?就是要認真對待它們。人們很容易將網絡安全視為僅存在于真空中的問題,覺得它只會影響數字網絡,只要我們脫離計算機,數字網絡就不會威脅到我們。
但是現實情況是,網絡安全與現實世界息息相關,其破壞能夠產生非常實際的危害。西部世界向我們展示了,問題只有在引發廣泛關注之前才能被忽略很久。所以,為了避免相同的困境在現實生活中實現,我們必須在事情惡化之前,充分重視網絡安全。
