9月12日,在360一年一度的安全大会后,周鸿祎接受了记者群访。在采访中,他谈了360在网络安全上的理解和思考,360的业务聚焦方向,还顺带提了一下近期上市传言以及当年被“插刀”的事。
以下是界面科技整理的一些要点:
1、马云提出新零售,我觉得这说法太好了,虽然谁也不知道是什么意思,但觉得挺高瞻远瞩了。所以,我在屋里想了好几个月,想了一个“大安全”,但这个安全是货真价实存在的,能自圆其说的。
2、现在再孤立地谈网络安全可能太低估它的挑战和威胁,所以我们定义为大安全时代。今天整个社会和互联网已经结合得很紧密了,加上现在物联网、车联网、工业互联网,把真实世界和物理世界、网络世界全部拉平了,这种情况下,网络世界的攻击都开始蔓延到真实世界。我们发现,一谈安全,就势必要谈到国家安全、社会安全、基础设施的安全,包括物理的安全甚至人身的安全。
3、我的理解,大安全、网络攻击已经演变成网络战。美国人在网络武器打造上实现了平台化、系统化、自动化,全世界已经进入网络战时代。网络战里,我们提出一个概念,要开始重视一个战略资源——漏洞。在大安全时代,漏洞变成稀土、原油一样成为国家的网络资源。
4、大安全时代,军民融合是唯一可走的方向,过去说打仗是靠军队,打网络战,不论是进攻和防守,民间的公司和民间的人才都要融合,未来的网络战争不区分军用目标还是民用目标,和网络是连在一起的。
5、人是网络安全中最脆弱的因素,所有的攻击能得逞,除了利用某个漏洞和技术,最后人一定是出问题的。
6、行业有不正之风,觉得去海外参加比赛像参加奥林匹克,得到外国人的首肯很光荣,时间长了我发现一个问题,美国军方、美国情报机构为什么特别热衷干这个?搜集漏洞,因为这个漏洞一亮,这个漏洞再也用不了,美国人就知道了。
7、(在身体植入芯片的)黑客是表演性质的,为了让你们觉得好看,真正的黑客都在做一些更实在的事。
8、我们退市以后最重要的一件事是解决了身份问题,360现在是一家纯粹的中国互联网公司。
9、安全还是360的安身立命之本,做到一定程度上它不仅是个业务,也是个责任。我也有个价值观,企业能不能长久,当然做到AT这么大而不倒也很牛,还有就是被人民离不开,政府离不开,社会离不开,你也很有机会。
10、一个企业如果专注地干好一件事儿,又挣钱,又很开心,这当然最好,但是在中国互联网里,这挺难做的,不是你进别人的边界就别人进你的边界。
11、过去360老是不太聚焦,什么风口都要跟一把,比如VR、人工智能。目前我们安全产业没有做起来,安全产业不是我们最挣钱的,也基本不挣钱,所以,安全之外还要做点挣钱的互联网的事情,就像腾讯在通讯上不挣钱,还得做点游戏和广告。所以,我们未来不会只有安全这一个业务。
12、我们在短视频要发力,包括我们有短视频和游戏,最近我们做了游戏人事的调整,抛弃只是游戏分发渠道,把自己游戏的内容、创造能力产业链应该能打造起来。
13、未来我认为会聚焦在这几方面,安全为基础,然后内容,搜索也是技术的一部分,我们会把搜索导航继续做好,还有人工智能和智能硬件的结合。
14、我们上市肯定是严格按照中国的证券法律法规,按政府规定正常进行,有消息再告诉大家。不要听信市场里的传言,市场里有些股票特别流氓,一段时间它股票没人买了,就拿我们(说事),仅仅因为它名字中也有一个3、6。
15、这会(手机)也说不出太多东西,唯一欣慰的是,当年有人在背后捅了我一下,没想到成了多米诺骨牌倒下,我发现还是善有善报。
对话全文:
今天一直在阐述“大安全”时代的话题,能否再详细介绍一下?
周鸿祎:最近我们做安全做了这几年,有一个思考,现在再孤立地谈网络安全可能太低估这个网络安全的挑战和威胁,所以我们定义为大安全时代,因为这几年安全越做,安全问题越大,就证明很多策略和思想都要随之改变,我说三件事儿其实是让大家重新去思考,过去大家一谈就是网络安全、信息安全、电脑安全,太窄了。
比如三件事儿,美国的大选、黑客的介入改变了美国政府的政治走向,选了一个新总统;乌克兰过去两年一直在战乱,但乌克兰简直成了网络战的练兵场,而且网络的目标就是电站,不再用战斗机扔炸弹一样可以实现大面积的断电。包括今年勒索病毒,虽然发作被我们控制住了,但因为它是用网络武器,它的很多威力小小地露了一手,但也可以让你窥一斑而知全豹。
今天整个社会和互联网已经结合得很紧密了,整个社会一种说法是转在互联网上,一种说法是运转在软件之上,加上现在物联网、车联网、工业互联网,把真实世界和物理世界、网络世界全部拉平了,线上线下全都连通了,这种情况下,网络世界的攻击都开始蔓延到真实世界。我们就发现,现在一谈安全,就势必要谈到国家安全、社会安全、基础设施的安全,包括物理的安全甚至人身的安全。
美国今年出了好几次军舰和船相撞,美国自己都解释不清楚,说会不会有人利用GPS欺骗,把一个货轮引偏航撞他的军舰,这不是都没有可能。这种情况下,我们需要换一种观点来看,所以我们提出“大安全”。我的理解,大安全,网络攻击已经演变成网络战,网络攻击过去还是比较零碎,比较单次,这次WannaCry可以看出来,美国人在网络武器打造上实现了平台化、系统化、自动化,全世界已经进入网络战时代。在网络战时代,它和传统战争有很多的互补,甚至有的情况下网络战可以超过传统战争,达到不战曲人之兵的地步。WannaCry只是演变,和WannaCry一块儿泄露出来的美国很多网络武器,我们经过筛查,有不少在中国原来都已经进行过渗透攻击,只是原来我们不知道而已,所以你会发现,这种网络战的攻击威力一旦和基础设施结合,每个国家都受不了,包括美国自己也受不了。
网络战里,我们提出一个概念,要开始重视一个战略资源——漏洞。过去我们老把漏洞当成软件上不起眼的小错误,但今天别人能供给你可能因为楼,你能防守可能因为发现一个漏洞,所以漏洞变成兵家必争之地,在大安全时代,漏洞变成稀土、原油一样成为国家的网络资源。美国非常注意通过活动采集、挖掘漏洞,而其他国家的意识比较(淡)。
网络战时代的各国的网络军备竞赛一定会开始,就像核竞赛一样,有的国家拼了命要召个大核弹出来,未来已经有几十个国家都成立了网络战部队,包括美国把他的网络战部队升级为一级司令部。在“大安全”时代,作战的指导思想,防御思想要改变,过去我们老修马奇诺防线,《敦刻尔克》告诉你马奇诺是靠不住的。今天所有的系统都有未知的漏洞你一定是防不住的,别人一定会攻击你,这种情况下,怎么重新进行新的作战思想的改变,这也需要在“大安全”时代下整个防御思想要彻底改变。
过去的网络攻击还仅限于信息方面,今天的网络攻击可以断电,劫持你的车,在高速上急停或急启。今天特别对基础设施的攻击会带来对整个社会的巨大影响,这是人类前所未有巨大的威胁。所以,以后可能部队打仗之前,陆军、坦克没动,先用空军,空军没启动之前先用网军,把你的雷达站摧毁,这是巨大的挑战威胁。
“大安全”时代我们认为网络犯罪不断增多,因为产业特别大,黑色产业链,很多人千方百计,我们有个可怜的小程序圆在网上认识一个女的,这也算网络犯罪,女的隐瞒了身份,通过聊天也能把人逼死也算网络武器。反过来公安要破这个案子也要通过网络,包括国家最近为什么要打击虚拟货币?很多网络犯罪印泥,为什么过去能勒索你,敲诈你,为什么不留个支付宝帐号?留个支付宝帐号公安明天就抓上你了,留个比特币的钱包他以后抓不到你。所以及以后警察破案基本90%要和网络结合。
网络恐怖主义危害也会开始,昨天是9.11,典型的恐怖主义,如果拉登活到现在再攻击不一定会用传统的攻击方式,发现用网络攻击把美国核电站摧毁或者电力系统摧毁,影响的就不是一个大楼里的人,而是一个城市。很多国家现在反恐的压力都很大,而恐怖主义一旦意识到,几个小毛在利用网络网上武器就能造成这么大的影响,他们反过来不需要特别高深的技术,这种自动化、平台化的武器拟达到就可以使用。就像有人造了很简单的核机枪实弹(音)也可以做到。
大安全时代,军民融合是唯一可走的方向,过去说打仗是靠军队,打网络战,不论是进攻和防守,民间的公司货民间的人才都要融合,未来的网络战争不区分军用目标还是民用目标,和网络是连在一起的。很多大数据、技术、特别是人才,因为最后网络战的本质是,就像今天给展示了,不是他们黑客技术很棒,这两个人都是很疯狂的人,很不一样的人,这样的人估计很难招到军队,招到军队可能也会被开掉,今天黑客身价很高,这些人可能自己开公司,必须通过军民融合机制把这样的人调动起来,才能够真正地打一场人民战争,所谓网络安全靠人民。现在军民融合,我们还是要不断鼓吹这个理念,军队,国家队和民间网络安全(公司)的合作。
这个大会的主题是个正确的废话,我们讲来讲去,人是网络安全中最脆弱的因素,所有的攻击能得逞除了利用某个漏洞和技术,最后人一定是出问题的。可以举出N多的例子,人懒惰,违反规定,图省事,好奇,就会导致问题。如果你有了再先进的系统,比如希拉里也是前国务卿,总统候选人,她有强大的安保团队,包括网络安保团队,奥巴马以前很喜欢用黑霉,当总统之后不允许他用普通的黑莓,而是美国国安局给他做了定制的黑莓,确保安全。
安全最终还是靠人,靠安全专家,系统不可靠,漏洞满天飞,人也不太可靠,很多单位都做了规定,说内网不许连接外网,这个规定没什么效果,老有人偷偷连,规定也不可靠。我们现在不能把安全放在很多假设之上,要做最坏的打算,争取最好的结果。所以,要把安全业变成服务业,不是三峡大坝我们卖一台防火墙,给他装一套360就OK,没问题了,以后针对三峡大坝的攻击一定会有。比如中国和某个邻国之间有纠纷,纠纷的本质可能是水资源的问题,中国要在雅鲁藏布江修一系列的水坝,这些水坝将来会不会是敌国或邻国重点攻击的对象,以后不是派飞机炸这个水坝,而是要控制你大坝的控制系统,你说光买点安全的东西就能高枕无忧吗?一定需要一直强大的安全团队为他提供长期的安全服务,平常帮他做攻防演习和发掘漏洞,被人攻还能发现,人进来总要干坏事,这时候就要上人,决不是靠人工智能。在安全领域最高两群人在较量,人工智能离这个还差得很远。安全行业以后要变成高智力的服务业,用这个方法,我觉得才能最后,说白了就是上人。毛主席说过,最后决定战争胜负的不是武器,而是掌握武器的人。大家和世界其他国家比,甚至美国的武器都比我们更犀利一些,他们掌握的漏洞会更多一些,非对称基础上,最后网络战能打成什么样还是取决于人。
我们今天在会上阐述的,想表达一个观点,以后不用再谈信息安全,也不用再谈网络安全,“大安全”时代,从国家安全开始到产业安全、社会安全、工业互联网安全,到人身安全要有系统化的考虑,在这个“大安全”时代,攻防思维,策略要改变,格局要改变,包括对人才的需求,产业的发展方向可能都会改变。这是我们今天主要在这次大会上提出的目标。对整个安全行业应该还是正向的。
当前互联网安全的趋势,各方应该如何合理完成这样一个(工作)?
周鸿祎:中国互联网安全主要还是两个极端,一个极端,领导非常重视,所以,各家大家的投入现在也很大;另一方面,网络安全公司产业规模还太小,360在里面属于山中无老虎,我们矮子里面拔将军,算是最大的,但和其他产业比,像绿盟、启明星辰等公司规模就更小,安全产业也有很多缺口。
所以,我们提出“大安全”,希望对产业以更多的激励,希望更多优秀的人才投身到这个行业,很多公司实现业务和商业模式上的转型,从简单一次性卖硬件到卖服务。过去中国很多企业,中国的500强,中石油、中石化、三峡大坝、中国的核电站,国网电力,他们不需要安全服务吗?他们过去没有这个意识,当大型国企和大型银行需要安全服务,这个产业就起来了。这个产业起来,用市场化的观念,产业起来就会有更多的人才进来,更多的投资进来,而且中国不缺人,中国是有人口红利的。我们可以培养更多的年轻人进入到网络安全产业,用5年的时间把中国打造成一个安全强国。
刚果谈到需要培养更多的年轻人进入网络安全产业,我们现在用什么样的方式培养更多的年轻人才?
周鸿祎:三个方面,第一,这几年随着360在行业不断宣传之后,安全产业发展之后,整个薪酬水平都在提升,包括互联网公司认识安全,比如腾讯解决微信的安全,马云要解决支付宝安全,他们现在也在大量招聘安全人才,所以安全人才在过去几年里薪酬水准提高了5-10倍,这一点不夸张。原来安全人员比较苦的,人往高处走,这会吸引很多人进入。
我们有个创业大赛,过去安全企业很少能拿到投资,这几年情况发生变化了,国家重视安全产业,安全产业也发展起来,针对安全的投资多起来,也会鼓励很多人加入安全的创业,基数怎么解决呢?我们可以吹个牛的,360做了很大的贡献,原来我们在大学里招聘时发现只能招软硬件通讯行业,大学没有安全专业。你说搞个攻防大赛、安全大赛,大学都不愿意给你搞,因为你教会了学生攻防能力,明天他把教务处给攻了怎么办呢?把学校附近的银行拿下怎么办?很多老师怕承担责任。
后来我们通过几个途径,给总书记写了一封信,就觉得做大事不拘小节,要培养人才。所以,总书记给了很大的批示,在前年和去年,所以就做了两件事儿,第一各个高校现在都能把计算机安全和网络攻防作为一级学科,可以由硕博授予的冷藏,就像计算机软件一样,给大学放开了这个手脚;去年又邀请了武汉、西安、武大一些城市率先和我们这样的公司合作,实验建立国家级的网络安全学院,就是定向培养网络安全人才。我国年轻人多,这么多大学一旦动起来(规模非常大)。网信办马上要公布10所大学作为第一批的国家级网络安全学院,未来每年培养几千人,五年下来就能到几万人了,我们还是做很多工作。
问:(国外安全大赛)当时是想直接请您去的,当时说漏洞不给别人,以后还会打漏洞大赛吗?
周鸿祎:行业有不正之风,大家觉得去海外参加比赛像参加奥林匹克,得到外国人的首肯有很光荣,时间长了我发现一个问题,美国军方、美国情报机构特别热衷干这个?为什么呢?开始搜集漏洞,因为这个漏洞一亮这个漏洞再也用不了,美国人就知道了。从来就没有美国队,前三名都被中国队包办,美国就不参加。北约有个规定,北约盟国研究漏洞的人根本不允许来中国、俄罗斯,东方武器禁运国,不想参加比赛,美国人就不想参加奥林匹克吗?我有不供给友邦了,世界坦克大赛美国人为什么不赖?只能友好国家进来,来了以后就必然会把很多泄露出来。我意识到这个问题,美国人拿了一个漏洞,他可不能轻易拿来做比赛,可能送给国安局,类似WannaCry做个网络武器,武器很保密,一用三年,悄悄地用,要不是这次被泄露的,没准还能长期使用。但我们很多漏洞,漏洞有点像你挖到了类似的国家重要战略资源。能拿到世界顶级黑客大赛攻破,美国专门给你设了命题,让你去攻,这都是高价值漏洞,美国也就给你十几万元奖金就觉得很高兴,如果卖给某个犯罪集团和国家情报机构是百万美金算的。这些漏洞是不是应该留在国内,看国家是不是需要?比如我们很多漏洞是来不及修补的,可能意味着你把很多的信息都告诉了其他国家。我是对这个是持公开反对态度的,但没办法,它形成了风气,有的公司不干别的事儿就以去国外参加比赛,得奖为主,对他来讲就是天天压着360就行了。我的人老忍不住,非要较这个劲,这是个大问题,我的观点还是很明确的。在“大安全”时代,网络战时代,不要呈匹夫之勇,不要图一时之快,我们今天得了一个黑客大赛第一名so what?中国长期来看需要积累网络资源和网络资产,否则有点漏洞就用了,真哪一天和别的国家打起网络战,你手里什么都没有,你有的东西美国人全知道,你说这个仗怎么打?
这次谈安全是3Q大战之后深入谈安全,好像很多年没有谈了,360对在未来安全处于什么样的位置?现在很多互联网公司在搞多元化,360在非核心业务上怎么处理?
周鸿祎:你的问题挺好的。安全还是360的安身立命之本,做到一定程度上它不仅是个业务,也是个责任,一个企业除了让员工挣钱,员工买了房子之后,也需要一种成就感,我们在行业里也需要。我也有个价值观地企业能不能长久,当然是做到AT这么大而不倒也很牛,还有就是被人民离不开,政府离不开,社会离不开,你也很有机会。安全不管挣不挣钱都会坚定地把它做好。安全肯定要做大,“大安全”的时代,大家对360的理解不能只是免费杀毒,拦截骚扰电话,其实在今天的工业安全、社会安全、国家安全、网络战攻防方面360都能发挥重要的角色。我们为此还成立了企业安全集团,2B这块专门有集团在做。除了2B,我们安全、社会安全和未来新兴的物理安全领域都是巨大的机会,就像我刚才说到了,军民融合是个大的机会,美国最挣钱的是军工产业,一打仗军工产业都挣钱。最近雷神公司承担了美国好几个网络安全项目,现在这两个产业在融合。
网络安全未来是服务业,以后一个安全公司就像今天的本杰明一样,不卖任何东西。本杰明今天讲的就是未来的模式,我这帮人也不是去黑别人来搞破坏,我就和银行签定协议,每天通过国防发银行漏洞,银行遭到攻击我上门及时帮你发现修补,我认为,网络安全从培训和服务业角度,未来这个产业发展也很大。网络安全是我们的基础。
第二,多元化的问题是因为王兴那文章“没有边界”,大家就开始讨论多元化的问题。我的感觉,一个企业如果专注地干好一件事儿,又挣钱,又很开心,这当然最好,但是在中国互联网里,这挺难做的,不是你进别人的边界就别人进你的边界。还有你站住一个地方,最后发现这个地方挺荒凉的,光卖电影票是不挣钱的,还要进入别人的领域。
所以,我们要尽量聚焦,你那篇文章批评我,我能看出来,我们过去总结一下,老是不太聚焦,什么风口都要跟一把,什么事情都不想错过,比如VR、人工智能。目前我们安全产业没有做起来,安全产业不是我们最挣钱的,安全产业我们也基本不挣钱,所以,安全之外还要做点挣钱,互联网的事情,就像腾讯在通信上部挣钱,但还得做点游戏和广告。所以,我们未来不会只有安全这一个业务,互联网上,我们未来还是会把网络安全的基础工具做好,另外是漏洞,我们在短视频马上要开始发力,未来在手机上,和PC不一样,PC是生产型工具,工具很重要也很牛掰,但手机不一样,是你一个工具,是你一个器官,是你和世界连接的接口,所以手机上的内容很重要,包括我们有短视频和游戏,最近我们做了游戏人事的调整,抛弃我们过需只是游戏分发渠道,我们既然有游戏分发渠道,把自己游戏的内容、创造能力产业链应该能打造起来。
未来人工智能、IOT、智能硬件会和手机紧密结合,未来我认为会聚焦在这几方面,安全为基础,然后内容,搜索也是技术的一部分,我们会把搜索导航继续做好,还有人工智能和智能硬件的结合。
马云今天提出新零售,我觉得这说法太好了,虽然谁也不知道是什么意思,但觉得挺高瞻远瞩了。所以,我在屋里想了好几个月,想了一个“大安全”,但这个安全是货真价实存在的,能自圆其说的。
您刚才提到漏洞还是挺有战争价值和经济价值的,您有没有考虑过设立一个类似漏洞交易所或者中国建立一个漏洞交易所?
周鸿祎:事实上,我们现在有两种方式,第一,我们已经花钱收漏洞,因为还是要花钱;第二,我们也鼓励国家应该做投入,做漏洞交易所没准就卖到黑产手里,所以国家要投入的。美国每年在漏洞上,美国办比赛每年奖金几百万美金,中国这么国富民强,每年拿出几亿、十几亿买点漏洞不是应该的吗。
漏洞交易所只有一个买方就是国家。只要计算机打的补丁,这个勒索病毒就不会起作用,你可以完全忽视他,我们为什么今天基于这个提了大安全概念,这个事情背后反映了很多安全的挑战,如果我们不能解决、应对新的威胁,未来会有很多新的漏洞,造成很多网络物系,基于网络武器进行恐怖袭击和网络战的…我们今天通过网络战的雏形来分析网络战到底有什么特点和挑战。
今天360的主题意义在哪里?为什么说是人是最大的薄弱环节?
周鸿祎:“大安全”时代,安全的威胁是大威胁,不光是互联网安全、包括国家安全、基础设施安全、人身安全,这威胁非常大。这个威胁下,你会发现因为网络越来越复杂,所以有了漏洞,漏洞是不可避免的,有漏洞就会被人攻击,任何系统都一定是被攻破的。
过去有多人为的规定,但人又是里面最大的薄弱环节,就导致今天大家的安全工作越做好像安全攻击越多,越做安全的防护,安全的后果越严重,我们就必须要跳出来,思考一下如果不能再修马奇诺防线,最后我们靠什么?结论最后还是要靠人,首先把人的漏洞,人是最大的漏洞,很多安全问题都是人这个漏洞出现问题。
系统出现漏洞还是会被攻进来,这要看有没有一支专业的安全团队能不能快速发现,快速修补,快速地把损失降到最低,这是全世界包括美国人在内大家公认的,新时代下的网络作战思想,你会发现,最后一道防线就是安全专家。反过来看看,今天大家不要老是热衷于采购大量的软硬件,把软硬件堆起来,把网络隔离起来就能高枕无忧,是要大量地培养人才,鼓励网络安全这种服务公司的出现,为很多企业提供安全服务,通过这种人的对抗来化解安全的问题。当然,也不排除十年以后人工智能发展,人工智能可以来应对,至少五年内我看不到人工智能上有什么优势。
现在人工智能也处于快速的发展阶段,将来会成为很大的趋势,成为不可分割的一方面,您认为人工智能是不是会产生很多漏洞的问题?
周鸿祎:我是这么看人工智能,马斯克认为人工智能是因为机器有了意识像终结者这样的我认为不会有,杞人忧天。现在的人工智能是深度学习算法和数据的结果,换句话说它会怎么做,制作人也不知道,我们验证了这里面一定有很多漏洞,通过数据的攻击,要么让这个系统来失效或者系统失控。今天人类面临的问题就是,系统越智能,系统越复杂,系统越方便就带来系统复杂性越大,就会带来被人利用,就有多漏洞。还有人提到工人机,无人车,工厂与自动化,一旦被攻破就意味着有人会为所欲为。
未来网络攻击战我们处于什么样的角色?
周鸿祎:首先作为普通人还是应该提高安全的意识,因为普通人在网络安全战里并不是无足轻重的角色,网络战是整体战,别人攻击的时候肯定会从贫民攻击,从他薄弱点和跳板渗透到重要目标,每个人在个人安全方面要提高意识,包括用各种安全软件能提高自己的防护水平。
第二,我们也鼓励大量的年轻人对网络安全有兴趣的,应该投身到这个行业里,有更多年轻、优秀的人投身到这个行业,变成高水平安全专家,中国的安全缺口才能补上,中国才会成为网络安全强国。
现在我们提到这个观点,大家觉得非常极端,觉得用了我们的灵丹妙药你的系统就攻不破,原来很多网络公司这么做的,这几年重新实践证明没有攻不破的网络,你基于我我的网络一定会被攻破,这样的情况下做安全防御,今天所有网络系统都越来越复杂,越来越智能,它的智能、方便和复杂性都是由软件提供的,软件只要有人写就有错,每个错都有漏洞,平均2000行代码就会出现一个错误,今天的代码,手机里基本上上千万行,一个车里上亿行,国家的像波音大飞机代码十几亿行,这意味着可能会出现多少漏洞,只要有一个被人发现,被人漏洞,可能你这个系统就会被人攻破。所以,希望没有漏洞去防守的思想,面对千疮百孔的系统几乎是不可能的。
我们还注意到一个方向,有了物联网,特别是工业物联网出现,使得我们真实世界和网络虚拟世界完全打通,整个社会和网络融在一起,所以我们最近在工业互联网,特别是在能源设施保护方面开始做一些工作。
无人车呢?
周鸿祎:过去做过测试,发现用很简单的方法都能攻破,我说这个东西大家会觉得杞人忧天,微马汽车是做智能汽车厂商,他们对互联网研究比较深入,希望出来的车能做到最安全,所以我们双方一拍即合,他们来做车,我们做车里的安全。他这个车将来会发布的,我们和他合作,要把一些组件做到车里。
我们会在车的内部总线上,车的内部不同组件上,对网络协议和里面的命令控制进行过滤,防止这个车被人攻破之后,车被远程控制。最终都是要归结为远程控制,对车的攻击方法有很多,比如对人攻击控制方法,还有对GPS攻击,比如开一辆车,GPS不能出现错误。
问:AI对整个安全的改变是什么样的?
周鸿祎:我们现在已经把AI作为一种手段,AI能不能帮我们发现代码的漏洞和攻防的辅助,目前的网络攻防是高智商的对抗,目前的AI显然达不到这个水平,作用还比较有限,无法做到两个AI系统去对攻和防守,但AI系统带来的问题,刚才我讲到安全的问题,大家公认的问题反而不存在,比如很多人担忧AI有自我意识了,机器人觉得人类太讨厌,把人类干掉,这种短期内不太可能。
但AI会带来两个问题,一是AI系统本身是个复杂的系统,是用数据推算出来的系统,只要是复合系统,里面就有一些漏洞,就可以攻击。很多AI系统是用神经网络推算出来的,AI系统创作者会让AI认出来猫和狗,自己都说不出怎么认的,只是给了1万张猫的图片,1万张狗的图片,里面有大量的运算。
AI无人系统被劫持了,这个车开着,你劫持还能抗争和踩油门,这个车没人开,没有方向盘,你被劫持了,真的只能听天由命的,为什么国外的人也赞成军队用AI,改造武器智能化,一石激起可以扣扳机,不一定自己扣扳机,一旦被别人劫持了就会扣扳机,这个挑战就大了。
