AI挑战漏洞挖掘的浮想联翩
最近谷歌方面宣布,其大语言模型(LLM)项目“Big Sleep”成功发现了一个SQLite数据库引擎中的内存安全漏洞问题,引发了很多安全行业人士的兴趣。据相关信息纰漏,此次“Big Sleep”发现的漏洞,无法用传统的人工方式检测,同时也是AI首次独立检测出来的可以利用的安全漏洞。
这引发了我个人的胡思乱想。这次信息披露,是全部是AI自主完成的还是人工训练和提示的结果?如果AI自主完成,那岂不是说明AI未来一定能够拥有自主意识?难道碳基生物最终会被硅基人造物替代么?
异形夺命舰中有一个情节,就是安迪和那些已经被摧残掉的硅基人。这个情节总感觉离我们现在不远了。按照摩尔定律,或许智能化硅基时代也就是二十到三十年之内就可能发生的事情。
6G~8G万物互联的智能时代,应该很快会到来。如果现在解决不了安全、可控的问题,或许人类面临的问题会更多更多。真相远比事实残酷许多,很多人都不愿意接受真相。更有的人感叹剧本都不敢这么写。实际呢?剧本可控,事实不可控。
本次AI挖掘漏洞的细节,没有看到更多的可控细节。AI是否可以完全代替人工开展漏洞挖掘工作,或许这不是个例,但是要想完全替代,或许还要走一段很长的路。但谷歌AI的这一成就不仅标志着AI技术在进攻性安全研究领域取得了重大突破,还预示着未来网络安全防护策略或将发生深刻变革。
目前漏洞验证工作,利用AI依据已知漏洞进行漏洞检测和验证,我相信这个工作目前是应该可以完全实现的。谷歌AI这个实验性的成果表面,在挖掘未知漏洞方面的,AI或许完全可以取代人工。传统上,这类漏洞的发现主要依赖于人工审查代码或使用模糊测试等自动化工具。
笔者支持AI在网络安全应用越来越广泛的观点。当前国内各安全厂商也纷纷推出各类安全大模型以及应用场景,比较出名的有360安全大模型、启明星辰九天大模型等。
AI技术在网络安全技术应用中不仅仅有大模型,还有各种各样的安全小模型,这些AI组建的确可以提高安全运营的效率,缩短威胁发现的时间。
网络安全威胁,最终体现在数学公式上,威胁是关于时间T的某种函数。威胁发现越早,风险越可控制,威胁发现越晚,造成的损失也就越大。
如何在保证准确性、可控性的前提下,将AI技术更广泛地应用于漏洞检测和防御,将是一个值得深入探讨的问题。笔者认为,未来或许是不同技术手段的融合,因为这样才可以取长补短,提高漏洞检测的效率和准确性。
未来,技术的发展越来越快,面对日益严峻的网络威胁,我们需要不断探索和创新,才能确保网络空间的安全与稳定和可控。
网安人所努力的,无非就是可控两字,控,代表了对未知未来的把握。
