最新研究表示AI一秒内干掉 *** 攻击，这一研究说明了什么？

这个研究说明我国的AI技术目前正处于最巅峰的时期，已经形成了完整的防御体系，对 *** 攻击已经能够完全的化解，不会受到其他 *** 侵袭的危害，能够有非常不错的安全性。

曾经大名鼎鼎的黑客现在都在做什么？

之一个，目前就职于中国电子商务最牛企业阿里巴巴集团的吴翰清，15岁考进大学，20岁时应聘阿里，由于HR的不当回事的态度，吴同学当面夸下海口：“3分钟控制阿里服务器”，结果成功了。正好老马经过，亲自面试吴同学，让其就职阿里 *** 安全部门，随后组织了阿里的防御团队，每天接受防御攻击约16亿次，目前是阿里核心人物，年薪500W+。

第二个，2006-2007年轰动全国的“熊猫烧香”作者李俊，入侵腾讯服务器以及全国数以亿计的个人电脑，典型的就是窃取无数的虚拟币～ *** 币，造成数以千万计的损失，被抓捕后判四年徒刑，由于表现良好，提前出狱，后又继续违规操作，再次被捕。

第三个，技术最牛的一位神级黑客代表“菜霸”“朽木自雕”鄢奉天，由于别人盗窃了自己的游戏装备，开启自学模式，由于家庭原因， *** 上黑网站发泄个人情绪，但不做任何破坏、盗窃等事，完事后都会联系管理员告诉他们漏洞问题及解决方案，后因攻入腾讯总部，盗取了马化腾的5位数 *** 号，被腾讯报警抓捕，随后无数网友自发呼吁：放过这个善良的天才。其中，一位被帮助过的网友聘请专业律师为其辩护最终获得保释，并为其提供生活帮助。之后“菜霸”离开北京南下武汉创业，由于合伙人的问题散伙后再次南下广州创业，某些原因，再次离开，却获得了崇拜他许久的网友美国某名校留学生，之后恋爱。据说2018年再次陪同女友继续美国停留并创业美国。

人工智能心理机器人的系统安全吗？会被黑客入侵吗？

连信科技的Psybot机器人无需识别用户真实身份，保证用户信息的绝对隐私与数据的绝对安全！也会有专门的技术人员每天都在检查系统，更新系统的。

人工智能在未来玩得过黑客吗

这得具体看什么类型的AI了，如果是那种能自我进化自我吸收的AI，那么恐怕未来的黑客将远远不是对手，地球上千年的文明都是未来AI的养分，这么一个强大的对手，我们连它的高度都达不到，又怎么能打赢。 当然如果只是拥有高智能固定程序的AI，那么就算是很精密也会被攻破，因为越是精密复杂的东西，漏洞越多。

人工智能对隐私的保护存在吗？

1997年，深蓝多次击败顶级象棋大师，引发了全世界的巨大关注，人们对人工智能不断超越人类智慧的趋势既感到兴奋又感到担忧。人工智能在为人类社会作出巨大贡献的同时，会不会侵犯到人类的利益？这成了很多科学家、政治家和普通公众担忧的一件大事。

于是，科普大师和科幻泰斗艾萨克•阿西莫夫的机器人三法则被广泛提及和讨论。之一法则：机器人不得伤害人类，或坐视人类受到伤害；第二法则：除非违背之一法则，机器人必须服从人类的命令；第三法则：在不违背之一及第二法则下，机器人必须保护自己。

将机器人推广到人工智能后，这个“三法则”得到了普遍认同，甚至成为了人工智能的研发原则。

二十年过去了，阿尔法狗战胜了多个国际围棋大师，人们却普遍不再忧虑，而是非常乐见人工智能的完胜。

人们的态度为什么会改变？并不是人工智能的潜在危害不存在了，而是人们早已经习以为常了。

这二十年来，随着移动互联网的蓬勃发展，所有的人都习惯了一个现状，那就是在信息社会中我们每个人都是透明的。

街道上密布的天眼监控摄像头记录着你所有的活动，在公安机关的监控大厅里，通过多个摄像头的联动，你的行走轨迹一览无余。

出入机场、码头、车站，甚至开房的信息都被完整记录着，传统意义上的隐私已经不再成立。买房、买车、子女入学，你登记的个人信息早已经泄露，现在正处在诈骗犯的待用阶段。人们早已经适应了隐私权被逐渐剥夺的信息化社会，不适应又能如何呢？

但是，人工智能的本质是服务人类社会，而人类社会的核心价值就是“以人为本”。隐私权是人类亘古不变的基本权利，人工智能的发展不能以剥夺人类的基本权利为代价。恰恰相反，人工智能应该更好地保护人类的基本权利，其中就应该包括隐私权，这才是人工智能发展的正确方向。

在移动互联网时代，我们普通用户的信息可以分为两类，一类是身份认证信息，例如我们的用户名和登录密码，还有指纹虹膜等生物特征密码，另一类是我们的内容信息，例如订餐、打车、购物、租房等信息。

身份认证信息必须由用户本人绝对掌控，不能让渡给任何商家，甚至也不能让渡给 *** ，这应该是人工智能的一条铁律。

为什么这样说呢？因为在移动互联网时代，你的身份认证信息一旦泄露和被坏人利用，就可能遭受经济上的巨大损失，甚至可能危及到你的生命安全。如此重大的事项，绝不能相信任何组织机构和个人。

不仅不能相信他们的诚信，也不能相信他们的能力。近年来出现很多知名网站泄露用户身份认证信息的案件，这些企业是有诚信的，但防护能力不够，被黑客抄了家。

我们订餐、打车、购物、租房的内容信息呢？与身份认证信息不同，这部分信息就不能完全掌握在自己手里了，为了享受人工智能的服务，有时必须得让渡出去。

人工智能有智能感知、智能推理、智能学习、智能行动四个环节，而这些环节都是受数据驱动的，你不给它提供数据，它如何理解你的需求？又如何通过学习和推理为你提供精准的服务？

内容信息虽然必须得让渡，但也要坚持一个原则，那就是“数据统计结果归商家，个人信息所有权归自己”。

这是什么意思呢？举例来说，使用滴滴打车APP时，我们个人用车的车型、时段、路线、费用等信息会上传到滴滴公司的服务器，海量的信息形成了大数据，统计分析结果中蕴藏着巨大的商机和财富，这个统计结果归滴滴公司所有。

我们每个人都为这个统计结果贡献了九牛之一毛的数据，例如和平小区每月平均叫车量为500人次，住在和平小区的您为这个数据做了贡献，但您在和平小区叫车这个信息的所有权是您的，未经您的授权，滴滴分司不能使用。

有次我老婆用我的笔记本电脑搜衣服，隔天我去办公室指导学生，一打开电脑，浏览器就给我推送了大量蕾丝边女式内衣，还特别标明这是你可能感兴趣的商品，搞得我非常尴尬。

未经用户授权，商家不应该搜集用户的喜好习惯，即使收集了，那也只能用作统计分析的原始素材，而不应借此对用户进行精准营销，这违反了“个人信息未经授权不得利用”的原则，是人工智能的滥用。

谷歌发布了首款“谷歌制造”的Pixel手机，使用的是最新安卓操作系统 Nougat 7.1，更重要的是首次搭载了谷歌人工智能助手 Google Assistant ，而Google Assistant 就是手机人工智能的创新。谷歌的首席执行官 Sundar Pichai宣称，我们非常激动，能够在任何地点为每个人打造独特的谷歌。

但是质疑者认为，这种便利的代价是允许谷歌持续不断地获取用户的个人资料和偏好，使用户彻底失去隐私，从而成为透明人。

谷歌的这项人工智能是好是坏？这不能根据个人好恶来判定，肯定是有人喜欢有人反感，因此用户的授权就成为了关键。这个功能应该默认关闭的，当你明确知道会泄露隐私，但还是自愿做一个透明人以获得人工智能的帮助时，那就可以打开这个开关。

随着移动互联网的蓬勃发展，人们的透明化趋势不可逆转，但隐私权绝不能就此完全放弃。我的理念是：身份认证信息必须绝对自主掌控，个人偏好内容信息是否公开？这个选择权也应该交给用户本人。

人工智能方兴未艾，各企业的做法很不相同，在我接触过的企业之中比较认同华为的做法。首先在用户身份认证方面，华为将认证信息以密文的形式保存在自主研发的海思芯片的inSE之中，当互联网商需要身份认证时，就在CPU内部进行比对，然后送出yes或no的判定结果。因为华为拒绝向互联网商提供用户指纹信息，还发生过行业矛盾。

有的网友可能会质疑，华为说身份认证信息封存在芯片中，那一定是真的吗？这种怀疑非常有道理，任何人都不能凭借个人的好恶而盲信任何一家企业，企业的本质都是逐利的，都不值得绝对信任。

那该信谁呢？我的建议是相信 *** ，有 *** 背书的就可以相信，说实话我起初也不相信华为朋友给我做的宣传，直到看到了央行和银联对海思960芯片的安全认证证书。

最近华为与腾讯因为荣耀Magic手机而起纠纷，大家都知道华为手机通常装EMUI系统，但这款手机装的却是Magic Live系统，有一些新奇的智能应用。

这款手机开启了智慧助手后，系统能自动识别短信和微信中的关键词，并根据手机所处的地点进行智能推荐。比如说当你在微信中讨论吃饭时，手机会给你推荐附近的好餐厅。如果不需要这个功能，把智慧助手关掉就可以了。

腾讯对此非常不满，认为华为窃取了微信中的数据，并向工信部举报，要求处理华为。华为的说法是，荣耀Magic手机微信中的数据，既不属于华为，也不属于腾讯，而是属于用户，用户授权了智慧助手使用，这没毛病。工信部的回答是你们两家再商量商量吧。

荣耀的Magic Live与谷歌的Google Assistant都是手机人工智能的创新，但两者有本质的不同，谷歌的模式是“个人信息上传”，而荣耀的模式是“服务信息下潜”。

这是什么意思呢？简单说谷歌是把用户的个人喜好等信息上传到云端，谷歌了解到用户的喜好后，再提供精准的人工智能服务。

而荣耀是把所需的公共服务信息下潜到手机，由Magic Live打通各家APP的壁垒，对用户信息进行智能识别分析，然后提供精准服务。

其实就是华为在你的手机里放了一个私人秘书，它获取你的个人信息并提供精准服务，但它并不向华为报告，这一些都是在您手机内部进行的。而且这个功能是默认关闭的，除非你授权开启，否则它并不工作。

除了谷歌和华为，苹果也有类似的手机人工智能服务，苹果采用的是跟荣耀同样的“服务信息下潜”模式，并不上传用户个人信息。

为什么拿华为来说事，这是因为荣耀Magic手机开启了国内手机人工智能的先河，打破了各家APP的壁垒对数据进行了重新整合，这个举动是对APP商家利益的重大打击，现在只是风波乍起，角力还在后面，这是值得所有人关注的大事件。

对比谷歌和苹果来看，华为把用户认证信息封存在芯片inSE区的做法，与苹果的trust zone类似，不上传用户信息的服务信息下潜模式，也与苹果一致，而谷歌的做法相对更加激进。

人工智能是个大趋势，它会给我们带来更加精准的服务，但由于受用户提供的数据所驱动，客观上会影响到我们的个人隐私，这是个两难的取舍问题。

手机人工智能现在处于摸索阶段，各个商家的做法不同，每个人的想法也不同。既作为行业内行又作为普通用户，我有一个手机人工智能三原则：用户认证信息必须绝对自主掌控，内容信息上传的决定权在用户本人，未经用户授权任何商家不得利用。

人工智能真的会危害人类吗？

人工智能（Artificial Intelligence），英文缩写为AI。它是研究、开发用于模拟、延伸和扩展人的智能的理论、 *** 、技术及应用系统的一门新的技术科学。

人工智能是计算机科学的一个分支，它企图了解智能的实质，并生产出一种新的能以人类智能相似的方式做出反应的智能机器，该领域的研究包括机器人、语言识别、图像识别、自然语言处理和专家系统等。人工智能从诞生以来，理论和技术日益成熟，应用领域也不断扩大，可以设想，未来人工智能带来的科技产品，将会是人类智慧的“容器”。人工智能可以对人的意识、思维的信息过程的模拟。人工智能不是人的智能，但能像人那样思考、也可能超过人的智能。

人工智能从诞生以来，理论和技术日益成熟，应用领域也不断扩大，可以设想，未来人工智能带来的科技产品，将会是人类智慧的“容器”，也可能超过人的智能。

人工智能的定义可以分为两部分，即“ 人工”和“ 智能”。“人工”比较好理解，争议性也不大。有时我们会要考虑什么是人力所能及制造的，或者人自身的智能程度有没有高到可以创造人工智能的地步，等等。但总的来说，“人工系统”就是通常意义下的人工系统。

腾讯的点击验证码是什么原理

对于伪造 *** 请求的攻击方面，还有很多技术细节，篇幅有限，如果感兴趣可以看一下我的这篇博客，讲的就是有关验证码方面的一些技术细节：

CSRF漏洞的原理

如果提到的哪个专业术语我没有做通俗的解释，请在下方回复。

如果觉得长，想要直入主题的话可以直接找到 ---重要内容分割线---，看那部分其实是这套验证码最核心的安全机制。

目前web前端的验证码主要分几类：

1 看到图形，肉眼识别后输入字符；

2 根据界面图形，进行鼠标、手指（移动端）交互操作；

3 短信、 *** 、邮箱验证。

其中第3条，很多时候往往会与第1条相结合起来，以防止CSRF漏洞造成的短信炸弹攻击。

包括用户无感知的人机检验方式（简单地如前端token+referrer判断，这个待会儿再讲）在内，

以上所说的所有手段，终究目的是一个，那就是检查当前访问者究竟是一个“人”，还是一台“机器”。

这在计算机研究领域被称为图灵测试，图灵是一位计算机科学家，他提出对于“人工智能”的定义是：如果把一台电脑放在一个与外界隔绝的房间里，同时把一个人放在一个一模一样的房间里，同时对人和电脑进行各种各样的提问、测试，如果两者做出的反应基本一致（总会有差异，哪怕人与人之间也会有不同），那么认为这台电脑的算法水平已经达到了“人工智能”的级别。

说了这么多，想表达的还是一点，对于“让机器模拟人的行为”或者说“把自己伪装成一个人”，这样的事情在专业领域是有很多研究的。现在 *** 上存在着诸多验证码、安全校验等等东西，很多人不理解，认为这种东西增加了人们对于软件的正常使用的成本。其实这些安全手段，都是为了防止黑客以各种各样的技术手段，伪造 *** 请求，假冒真实用户的身份去“刷”网站的各个接口。

下面回到主题，来谈一谈题主所提到的这个腾讯的验证码页面的技术实现。

粗略地翻了一下这个页面的源代码（对于web领域，页面程序的源代码是完 *** 奔的，这一点与客户端程序不同，所以如果想要研究对方的代码，对于web开发者来说是一件比较容易的事情，换句话说web前端代码里边是没有太多秘密可言的，因此web的安全性也相对差一些），这个页面在我见过的一些验证码系统中是很常见的一种，就是前面提到的那第1种，看图识别输入字符的验证码形式。下面上代码：

先来看看在UI层面，就是最常见的，通过javascript在DOM上绑定的监听事件触发回调，如图所示，如果我把右边红圈中的click监听remove掉，点击按钮之后就什么反应都没有了，所以基本确定它验证码的逻辑都卸载了这个CT_btn_trigger的回调函数中。然后看看点击后弹出的layer：

全都是用DOM实现的，我在代码中没有发现任何flash object的痕迹（为什么提flash，这个也放在后边说），输入验证码之后监听 *** 数据包，找到了发送验证码的那个接口：

服务端的接受验证码的接口为https://ssl.captcha.qq.com/cap_union_verify_new 而我们刚刚输入的一条验证码，query字段名称是ans。这里的这一条 *** 请求是https协议传输的，包括整个qq安全中心的页面也都是上了https的，https协议与我们熟知的http协议更大的不同就是，通过加密手段规避掉了 *** 中间层对数据包的截获，这一点对于这套验证码来说还是值得肯定的，目前的很多验证码系统对于传输验证码的 *** 请求都没有上https。

昨晚看的仓促，刚刚又翻了一下发现了这一套验证码系统的核心部分，其实就是上面截图中的collect字段，感谢 @李默然 的提醒，这部分其实也就是我在前文中所提到的那个token，从collect这个字段命名不难猜出这个token是一个前端拼装起来的东西。具体如何拼装，在这里我就不一一扒代码了，考虑到毕竟是一个安全中心的页面，把技术细节在这里讲的太透了，普通用户也不那么关心，反倒是替别有用心的人省了点儿事。所以就不给腾讯的前端同学找麻烦了，在这里简单述说说吧。

collect参数，在用户点击这个按钮的那一刻，就会从服务端传过来一个collect参数，这时的collect参数中做了一些组装和软加密处理，拿到的是密文，明文中的内容不难猜测一定包裹了验证码所需的那张图片的url。

当输入验证码完成后，从客户端发往服务器的那条请求中，虽然ans字段中的验证码是明文，但是还依然带了一个collect字段，而这时的collect字段和上一个collect字段内容是不同的，显然也是一个加密后的结果，推测可知这个collect字段在服务端解密后拿到的明文中，至少也要包含用户本地操作的一些数据，这数据中就包括，他输入的那段验证码所对应的图片究竟是哪张。也许存了图片的url，也许是服务端记录图片的某一组key值，但这个对应关系是一定要有的。

以上提到的collect字段，其实是整个这套验证码系统最为关键的一点，黑客如果要破译这层csrf防御，首先需要搞明白两处collect字段是如何加密的。如果放在其他系统客户端的角度来说，破译这层加密的难度不小，但是由于web客户端的代码是裸奔的，这个天然的劣势导致，黑客不一定要以数学的 *** 去解出这套加密机制，而是可以直接翻看源代码，看明白collect字段是怎么拼装的，然后只要结合起图片识别模块就可以对这个接口进行强刷了。由于验证码本身是最简单的图片6位验证码，所以图像处理方面识别难度不是很大。

总的来讲，这一套验证码体系属于中规中矩，可能因为并不涉及到金额安全问题，所以也并没有十分重视。

如何优雅地屏蔽百度广告推广

下面简单讲讲刚才翻源码过程中遇到的几个技术细节，值得了解一下：

1 这样的验证码安全吗？

很遗憾，我是个喜欢讲实话的人。这样的验证码，不是绝对安全的。

2 什么是CSRF漏洞？

CSRF简单地说就是伪造的 *** 请求，黑客以这种手段，用脚本写出一些自动化程序，非正常地使用正常用户在访问网页时调用的http接口，从而达到其他目的（盗号，刷接口，甚至将服务器拖库）。这也正是网页加入验证码的根本原因，提高了黑客去做CSRF攻击的成本，因为他的自动化脚本可以发送任何用户相关的数据，但却很难猜出每次都随机出现的图形验证码中的字符。

3 这样的验证码存在哪些安全隐患？

简单地图形验证码现在已经不算是安全的了，因为以如今的图像识别技术，黑客可以构造一套自动化脚本，首先获取验证码的那张图片，然后把图片交由专门做图像识别的程序模块进行识别处理，返回一个识别结果，再把识别的结果像正常用户填写验证码一样回填到http请求的参数中去。我们看到，他在http请求的参数中，是直接把验证码的字符放在里边，而没有对字符做任何md5、AES一类的处理，所以黑客可以很容易的知道这个参数是什么，并构造上述的一个自动化渗透工具。来对服务器进行攻击。他的图像识别算法的能力不需要达到90% 80%这么高，哪怕有10%的精度，黑客可以把这样的一套脚本攻击程序分布式地放在各个机房的机器上，对服务器造成一定的攻击。对于你所看到的这个qq安全中心的页面是否安全的问题，真的没有是和否的区别，只有值得与否的区别。毕竟构造一套上述的自动化攻击程序以目前的技术，成本还是很高的。但不是不可能。这也解释了，为什么春节抢票期间，12306出台了那么一套变态的验证码，就是因为抢票的这个利益太大了，如果有人能够破译它的验证码系统，损失是铁路部门无法接受的，所以宁可让验证码把普通用户难到骂娘，也绝对不能给黑客的自动化攻击程序留下可乘之机。

4 为什么我要提到flash？

flash作为软件行业中被诸多安全漏洞缠身的一项技术，在web领域，某种意义上却能算是银弹了，至少我是这样认为的。为什么这么说？就像我刚才说的，软件行业，客户端代码其实都是没有什么秘密可言的，你真的想把一些安全级别非常高的代码逻辑保护起来，那只有放到服务端里才可靠，这就是为什么大家申请网银卡的时候都会配给一块U盾，因为软件客户端永远是不安全的，或者说相对于这样大额度交易的利益来讲，在黑客们面前他不够安全。所以要依靠U盾的硬件加密手段，把一些重要的加密逻辑焊死在芯片中进行固化保护。那么话说回来，为什么又要说flash在web领域是安全的呢？因为web太不安全了，作为一个客户端来说，它的一切代码都是裸奔的，任何打包、编译都没有，（有人可能要提到如今的webpack等打包工具，但那些东西实际意义并不在于打包而在于模块化），通俗的解释就是，任何一个懂前端js代码的工程师，都可以很低的成本，读懂其他网站前端代码中做了一些什么事情，这相比其他平台的客户端开发来说是非常可怕的。

真是因此，很多web网站都会把一些不希望别人“轻易偷走”的数据，写到一个flash客户端中，然后再把flash编译后打包的swf作为一个静态资源加载到页面中（因为现代浏览器都是支持flash的），让flash和用户交互。想要把flash反汇编出来，搞懂他里边做了什么，对于同样从事flash的AS开发工作的工程师与从事web前端开发工作的工程师，这本身从实现成本上就比web前端的html和javascript代码要高很多。

另外，如今的绝大多数web工程师，都不太熟悉flash代码，所以把flash作为web系统某些安全隐患上面的银弹，还是有一定道理的。这里我可以举一个目前线上的例子，酷狗音乐就是通过flash播放器，解码一种acc格式（特殊的音频格式，普通浏览器和播放器无法直接播放）的音频文件，来实现音乐歌曲的防盗版。因为你前端就算把他音频文件的url拿到了，下载下来，你也不好直接播放。

对于这部分,就不再扯远了。