【專欄】淺談AI的犯罪和防範(上)

犯罪分子如何非法使用AI竊取帳號密碼

AI 開始進入我們的生活，除了能夠陪我們聊天、幫助做簡易家事、偶爾下棋下贏我們之外，也總會有人將AI導入，到暗黑層面的應用。

每當現代社會出現了問題，我們想到的解決辦法總是製造障礙。音樂盜版？就用版權保護。網站被駭？使用更複雜的密碼。不幸的是，這些障礙通常只是讓守法的人感到不便，鮮少阻止壞人。

首先，使用圖形驗證碼（graphical Captcha），不管用文字或是圖形，目的都是要在15到30秒間判定坐在螢幕前面的是人還是電腦。但驗證碼作為圖形密碼圖形，常扭曲得連真人都辨識不出來，尤其當驗證碼是「rl10Ozirl」這類無意義的字時。你分不清楚那是小寫的英文字母l，還是數字1；是英文字母O，還是數字0。其次，這是視覺題目，看不見的人（盲人）根本無法驗証。

2017年 9 月，中國浙江紹興警方公佈，破獲全中國首例利用人工智慧技術，竊取個人資訊的案件，共收集到了10 億餘組個人訊息。他們利用在論壇留言、電商買東西、網銀做交易，認證時竊取個人資訊。甚至在＂抖音＂軟體裡置入木馬，以生動畫面、名言，吸引注目閱讀，並要你＂轉傳＂，竊取更多個人資訊。

你知道火車票難訂，中國黃牛黨就可以秒殺訂得。黃牛黨需要做的，只是到一種叫做「社工庫」的地方，就能買到很多「身份證」。「社工」是黑話，全稱叫「社會工程」，專門販賣各種身份信息、帳號密碼之類的非法信息。然後透過叫「貓池」，解決手機簡訊認證。這是一種專門用來群發、群收簡訊的設備，就像一個能插多張手機卡的簡易手機，可以理解為N卡N待。一台電腦可以連接幾台貓池，每台貓池，根據埠（插口）數量的不同，能同時插入8-64張手機卡，這就可以形成簡訊驗證碼接收平台。然後有一種破解的工具，叫「打碼平台」。

黃牛黨只需要在自動軟體設置好，整個圖片驗證碼就會被發送到一個打碼平台。你以為這個打碼是什麼高科技的視覺識別人工智慧，其實，真的是在用人工在打碼！精英級的打碼工一分鐘可以做20道驗證碼問題。解一條驗證碼只需要1分錢到3毛錢！

而被中國警方查封的這個平台，名叫「快啊」，曾經是地下產業市場上最大的打碼平台。他們在破解、竊取、販賣和盜用個人訊息實施詐騙有著完整的鏈條，其中，關鍵技術就在於利用人工智慧技術來識別驗證碼。

當我們登上網站、提交帳戶密碼時，總會遇上這個驗證步驟，很多人對那些圖片驗證碼真的是咬牙切齒。但事實上，驗證碼是各個網站用來對抗網路地下產業惡意登入等行為而設的安全策略。

驗證碼的全名是「全自動區分電腦和人類的圖靈測試」，由卡內基美隆大學設計提出。顧名思義，驗證碼的目的，是為了識別網路請求的發起方是人類，亦或是機器。因此早期的驗證碼就是網站提出一些問題，這些問題不能被機器破解回答，又得能夠被人類輕易答對。

正如前面所說，早期的打碼平台，是透過分工，讓分佈在許多地方電腦前的打工的真人來完成的。後來進化到了「人工 +光學字元辨識（OCR）」。但隨著網路公司對驗證碼識別難度的升級，連真人都不一定能夠通過驗證碼，「人工 + OCR」的識別率也就更低了。

因此，像「快啊」這樣的打碼平台，就開始運用 AI 技術訓練機器，提高識別驗證碼的精度和效率。隨著安全防護與破解入侵兩方面的抗衡日益升級，驗證碼的難度在增加，形式也在多樣化。從簡單的字母數字、算術題，到扭曲的字、模糊的圖片，這些被歸類為知識性驗證碼。機器學習的發展，讓字母、數字組成的知識性驗證碼，被識別和破解的風險日漸增大，但這種驗證碼，依然是主流。據警方公佈，他們所使用和訓練的 AI，已經能夠識別出 98% 以上的驗證碼。

現在，可以使用基本的卷積神經網路（convolutional neural networks），其中使用了一個巨大的資料集的 驗證碼圖像。它採用稱為卷積的數學運算。卷積是一種特殊的線性操作，卷積網路是一種特殊的神經網路，它們在至少一個層中使用卷積代替一般矩陣乘法。它也是一種前饋神經網路，它的人工神經元可以回應一部分覆蓋範圍內的周圍單元，對於大型圖像處理有出色表現。

如今新一代的驗證碼，已經開始向無知識型進化，例如 Google 的人機驗證問題大全（ reCAPTCHA），某些網站需要拖動滑條的驗證步驟。

現在，讓我們來看看更現代，甚至險惡的方法（顯然使用AI）。神經網路不使用字典，而是用於生成大量可能的密碼清單。此清單用於應用於身份驗證表單。取自一種關於密碼破譯的深度學習方法之PassGAN。尤其採用生成對抗網路，其中使用兩個神經網路；一個來區分正確和不正確的輸入，然後從中學習，通過隨機雜訊產生新的正確資料。

網絡釣魚（Phishing）

網路釣魚是一種非常常見的駭客攻擊形式。你是否曾經收到過一封看起來不太正確的電子郵件，但自稱是你的銀行、電話語音或社交媒體平台？任何新手程式師，誰知道一個小的超文字標記語言（HTML）結合一個後端代碼，如手稿語言（PHP）可以拉這個關閉。它涉及發送一個視覺設計的電子郵件，看起來像Facebook，並使用類似的正式語言。它將聲稱你需要更新、查看或更改某些內容，並要求你提供登錄詳細資訊。無論你輸入什麼，都會被發送到罪犯的伺服器。

網路釣魚是一種企圖從電子通訊中，透過偽裝成信譽卓著的法人媒體以獲得如用戶名稱、密碼和信用卡明細等個人敏感資訊的犯罪詐騙過程。這些通訊都聲稱來自於風行的社群網站、拍賣網站、網路銀行、電子支付網站、或網路管理者，以此來誘騙受害人的輕信。網釣通常是透過e-mail或者即時通訊進行。意味著放線釣魚以「釣」取受害人財務資料和密碼。

AI就像農藥 DDT 能夠讓農業種植增產，也能讓人們患病；核技術能夠做成導彈武器，也能夠用來發電。新技術讓人類更輕鬆，也會造成新的社會問題。人工智慧也不會例外，例如 AI 可以在醫療方面提供新的可能性，也能被運用在軍事領域，製造成武器。俄、美等國已製造出可實現自動駕駛、控制的坦克機器人。

隨著人工智慧的普及，我們會發現它們在很多方面比人類更聰明，這個過程一開始是悄無聲息只有蛛絲馬跡，但當到了某一個時間點，我們就會發現這個趨勢不可逆轉。