夜雨聆风
关于人工智能安全的讨论大多聚焦于模型可能造成的危害,但更紧迫的问题在于现有检测系统仍存在大量盲区——旁路攻击正让这一缺陷暴露无遗。
旁路攻击的隐蔽特性
旁路攻击通过监测功耗、电磁辐射、处理时长等物理指标(而非直接攻击软件代码)来窃取信息或干扰程序运行。这类攻击甚至能通过分析硬件辐射特征提取加密密钥等敏感数据。最新研究表明,外部观察者仅需分析加密流量模式即可推断AI交互内容,既不需要解密数据包,也无需检查载荷内容,仅凭通信结构、时序和顺序就能实现信息窃取。
这些信号确实存在,却完全超出了传统内容安全工具的检测范围。这不仅是新型攻击手法,更暴露出检测机制设计层面的系统性缺陷——我们构建的安全架构依赖特征匹配,而关键威胁信号往往根本不以特征形式呈现。
规则检测的失效
过去二十年间,安全检测始终由规则主导。特征签名、阈值设定、已知模式与异常基线构成了安全运营的支柱。行业在规则生成方面不断精进:更多规则、更优规则,乃至利用AI加速规则编写与调优。
但所有这些都未能突破根本性限制:规则必须依赖可匹配的离散要素——已知特征、可识别偏差或越界行为。旁路攻击不提供这些要素,现代入侵手段大多亦然。攻击者通过加密通道、合法工具或AI辅助工作流实施入侵时,其每个独立步骤都符合规则验证条件,唯有将这些步骤随时间推移串联观察,攻击模式才会显现。
这就是检测盲区的本质——非覆盖率问题,而是架构性缺陷。整类攻击行为因无法产生可匹配信号而完全不会触发告警。
持续扩大的检测鸿沟
该缺陷导致的结果显而易见:攻击者在某些场景下长驱直入,而安全团队收不到任何告警信号——连低置信度提示都没有,更遑论调查线索。
旁路攻击仅是其中一例。数据确实存在于时序、序列和交互模式中,但传统工具设计之初就未考虑解析这些维度。同样情况也见于低速渗透、无文件攻击和动态调整的AI辅助攻击链。随着AI在业务运营和攻击工具中的普及,此类"隐身"攻击的占比将持续攀升。
与此同时,多数安全投资仍聚焦于优化现有检测体系:更快生成规则、更精准调参、更高效告警分诊。这些改进虽有必要,却对根本不会触发告警的攻击面束手无策。
错位的AI部署
当前安全运营中部署的AI系统,多数用于告警摘要生成、调查加速和减轻分析师负担——这些都是在检测发生后起作用的辅助功能。它们优化了响应流程,却未革新检测机制本身。
若某类攻击行为根本不触发告警,任何自动化、摘要或优先级排序都无济于事。旁路攻击印证了这一点:信号客观存在,但既无法被基于规则的系统识别,也难以被事后检测型AI处理。这一逻辑同样适用于通过合法操作、加密通道或渐进渗透实施的攻击。
行业正大力投入提升检测流程效率,却鲜少投资拓展检测能力的根本边界。
行为视角的变革
弥合这一鸿沟需要全新的检测范式——不依赖预设特征或人工规则的安全监测。安全团队所需的攻击信号已然存在:操作序列、系统间关联、行为时序与演进趋势所揭示的意图,远非孤立事件所能体现。
颇具讽刺意味的是,促成高效旁路攻击的深度学习技术,同样可用于识别潜藏攻击的流量模式。攻击者通过加密通道横向移动会留下痕迹——不在流量内容中,而在访问模式的演变规律里;旁路泄漏虽不直接暴露数据,却会泄露结构特征。该原理适用于绝大多数现代攻击手法。
要解读这类信号,检测系统必须聚焦行为序列而非孤立事件,评估活动是否符合系统长期运行预期,而非仅判断单次动作是否异常。这完全不同于规则优化问题,需要能够从结构化运营数据中学习、识别未预先定义模式的AI模型。
对评估AI投资的安全负责人而言,关键在于区分两类系统:优化现有检测流程的,与拓展检测能力边界的。二者各有价值,但解决的是本质不同的问题。
检测体系的重构
对多数企业而言,首要任务并非引入新工具,而是重新评估现有检测策略的实际覆盖范围。这需要从坦诚的可见性评估开始:不仅关注是否存在针对特定手法的规则,更要确认系统能否在实际环境中可靠检测。初期侦察、隐蔽横向移动、混入正常运营的恶意活动,往往存在最大监测盲区。
同时需审视检测机制:若整个技术栈都围绕单点事件或预设特征构建,这种结构性缺陷无法通过优化规则质量来解决。评估AI安全能力时,核心问题在于:该系统是检测规则无法捕获的行为,还是提升规则检测效率?这一区分对投资决策至关重要。
消除检测盲区的意义超越响应速度优化——它改变了企业感知异常的时间节点。更早的检测能缩短驻留时间、限制事件影响范围,使防御方在攻击者达成目标前采取行动,同时提供更准确的风险态势感知。许多企业对自身可见性存在误判,因其工具在受限检测模型中表现良好。
旁路攻击本身即是极具价值的信号:它们证明关键信息可能存在于传统系统检测边界之外,更重要的是揭示了当前被忽视信息的规模。AI没有制造这个问题,只是暴露了它。
真正的适应者不会是那些在现有检测模型中动作更快的企业,而是率先拓展检测视野的先行者。
点分享
点收藏
点点赞
点在看
