用人工智慧大型語言模型解決軟體漏洞的挑戰
介紹
紐約的資安新創公司 Vicarius 提出了一個有關修補軟體漏洞的解決方案,該公司表示透過使用生成式人工智慧大型語言模型(LLM),可以快速修補漏洞。Vicarius 成立於 2016 年,開發了一個漏洞管理平臺,幫助企業改善安全性並修復潛在問題。為了配合在拉斯維加斯舉行的黑帽資安大會,Vicarius 宣布了名為 vuln_GPT 的 LLM 計畫,旨在透過簡單的查詢,幫助組織快速尋找和建立漏洞管理與修復的指令碼。Vicarius 還擁有一個名為 vsociety 的社區,研究人員和使用者可以在這裡合作並提交對已知安全漏洞的修復方案。
vuln_GPT 的工作原理
Vicarius 的執行長麥可·阿斯拉夫(Michael Assraf)表示 vuln_GPT 利用了 Vicarius 和 OpenAI 的資料,OpenAI 具有自己的程式碼生成功能。當使用者查詢 vuln_GPT 系統時,首先會在 Vicarius 的向量資料庫平臺中進行搜尋,以檢視是否已經提出了修復方案,或是否有與該查詢相似的方案。阿斯拉夫表示使用者的查詢可以非常基本,只要求基於常見脆弱性和外部威脅暴露識別號(CVE identifier)的特定已知漏洞的修補或檢測指令碼。生成式人工智慧引擎能夠回應查詢並使用現有指令碼或根據訓練資料建立一個新的指令碼。在發布之前,vsociety 社區和 Vicarius 的商業 VRx 平臺中的所有指令碼都經過取證。與 vuln_GPT 相關的人員也在阿斯拉夫的計劃中起到了重要角色。「我們有一個名為 vadmin 的內部平臺,在這個系統中,我們可以進行模型回填,即如果它產生的指令碼不正確或有問題,我們可以對其進行編輯。所以對於發布到 VRx 或 vsociety 的指令碼,我們會進行微調,確認無誤後再進行發布,這樣一來所有的指令碼在發布前都經過人工取證。」
修補和補償控制
在軟體漏洞修補方面,解決方案並不僅僅是軟體補丁。有時,最有效的及時方法是使用一些形式的補償控制以約束風險。阿斯拉夫表示 vuln_GPT 模型可以用於以高效的方式生成這些補償控制。例如,如果在基於 Linux 作業系統的應用程式中存在漏洞,vuln_GPT 可以快速生成一個指令碼,讓使用者可以在 Linux 核心中關閉某個功能,以防止利用該漏洞。「你可以將補償控制視為修補漏洞的替代方法」,阿斯拉夫說道。「這是有道理的,因為許多時候公司不希望進行補丁,因為這涉及到冗長的變更管理程式,可能會破壞某些功能,所以他們寧願使用這些補償控制。」
評論
使用生成式人工智慧大型語言模型(LLM)來處理軟體漏洞的挑戰,是當前資安領域中的一個重要議題。Vicarius 的 vuln_GPT 計畫提供了一種新的方法,使組織能夠迅速檢測和修補漏洞。透過使用訓練有素的資料,vuln_GPT 能夠回應使用者的查詢並生成相對應的修補指令碼。這種自動化的修補方法可以節省企業大量的時間和人力成本,並且有助於提高組織的資安效能。
然而在使用 LMM 來處理軟體漏洞時,還需要注意由於 LLM 本身的約束而可能引發的風險。儘管 vuln_GPT 的指令碼通常會經過取證,但在開始廣泛應用之前,應該對其進行更多的測試和評估,以確保生成的指令碼是可靠和安全的。此外人工取證的過程也至關重要,以確保最終釋出的指令碼符合組織的需求和安全標準。
建議
以下是一些建議,以幫助組織更有效地利用 vuln_GPT 或類似的解決方案來處理軟體漏洞:
1. 充分理解漏洞
在查詢 vuln_GPT 系統之前,組織應該對所面臨的漏洞進行充分的理解。這包括漏洞的特徵和可能的風險以及相關的修補方法和補償控制。只有理解漏洞的本質,組織才能更好地利用生成式 LMM 來處理它們。
2. 降低風險
除了修補漏洞外,組織還可以考慮使用補償控制來降低風險。補償控制是一種不需修改程式碼或進行系統變更的控制措施,可以約束漏洞的利用。vuln_GPT 可以幫助生成這些補償控制指令碼,使組織能夠快速將它們應用到相應的系統中。
3. 進行取證
當使用 vuln_GPT 生成的指令碼或其他修補方法時,組織應該對其進行取證,以確保其可靠性和安全性。這可以透過測試環境中的漏洞修補效果來實現,並經過相關人員的評估和取證。
4. 積極參與社區
組織可以利用 Vicarius 的 vsociety 社區來參與漏洞修補和改進的討論。在這個社區中,研究人員和使用者可以合作並提交他們自己對漏洞的修補方案。這種積極參與將有助於共享經驗和知識,並改進整個組織的漏洞修補能力。
5. 定期更新和評估
軟體漏洞是一個不斷變化的領域,組織應該定期更新和評估其修補措施。這包括定期檢視 vuln_GPT 等生成式 LMM 的最新版本以及相關漏洞的修補建議,並根據需要調整組織的安全策略。
使用生成式人工智慧大型語言模型來強化軟體漏洞修補能力是資安領域的一個重要發展。然而組織在應用這一技術時應謹慎,充分認識其優點和約束,並遵循相應的最佳實踐和安全性要求。
