第一步是将高级渗透测试人员的渗透手法和技术能力转换成为标准化、工程化的工具能力 。
第二步则是将上一步的工作进而转换为产品能力 。
第三步就是运用猎手产品功能去模拟渗透测试人员 ， 以AI的方式用多种方法攻击同一个目标 ， 并在这个过程中找出AI攻击与攻击者攻击之间的差异 ， 随后通过不断地优化和改进以进一步提升AI的渗透测试的实际能力 。
据介绍 ， 目前该产品在实际应用中早已取得不错的成绩 ， 实际的攻防对抗中梳理和发现多个关键网络基础设施安全问题 ， 其检测能力由此可见一斑 。
相比众测 AI自动化漏洞挖掘有着更灵活的检测方式
既然是AI自动化漏洞挖掘的工具化产品 ， 自然躲不开要去同另外一种以安全研究员为代表的人类群体去做对比 ， 那么极光猎手同众测平台之间有什么样的相同及差异呢？
仙果告诉我们 ， 众测这一方式主要是通过任务的形式来派发检测任务 ， 比如每季度、每半年 ， 或者是特殊的时间段 ， 如产品上线前等 ， 总而言之 ， 通过众测来执行检测任务一定是集中在某一个时间段的 。
相比之下 ， 极光猎手可以每月、每周甚至是每天来执行检测任务 ， 同时也可以自行定制在某一个时间段去检测 ， 在操作性上会更加灵活 ， 也可以持续保持长时间对某个安全问题的跟踪和排查 。
另外 ， 极光猎手在发现安全风险之后可配置通过告警的方式提醒用户 ， 不触发进一步渗透测试策略 ， 所以可以频次很高的执行检测任务 ， 仍不会对业务的运行造成较大影响 。
插上AI之翼的维阵——可面向所有用户的自动化漏洞挖掘系统

文章图片

文章图片
谈到维阵产品诞生 ， 仙果表示同样也是来自于用户群体中长期存在的真实需求 ， 具体而言主要有两点：一直以来存在着在没有源代码和相应的开发文档情况下 ， 我们如何去发现安全问题？基于源代码的安全检测做完后 ， 产品发布前是否还会有其他的安全问题存在 ， 包括编译器引入的这种安全问题是否能够检测？
“除了上面这两点之外 ， 还有一个非常关键的因素 ， 就是随着AI技术的不断发展 ， 我们应将AI所拥有的大规模计算能力、机器学习能力引入到网络安全领域 ， 尤其是在漏洞挖掘和安全检测方面”
基于这些需求 ， 极光无限决定开始设计和开发一套智能化的漏洞挖掘系统 。
维阵与DevSecOps工具之间的不同 绝不是非此即彼
可能不少人会想到另外一款针对于源代码的自动化安全理念——DevSecOps ， 那么同IAST、SAST这样的自动化工具相比有什么样的区别呢？
说到这里 ， 仙果首先强调了一点 ， 那就是维阵智能化的漏洞挖掘系统与IAST、SAST这种DevSecOps工具在本质上并不冲突 ， 后者更强调是介入源码检测和安全路径发现 ， 以及源码在编译阶段过程中是否存在安全问题或安全隐患 。
谈到区别方面 ， 仙果表示这两者之间主要还是体现在源码关联性方面 ， IAST等工具与源代码之间是强关联的 ， 而维阵尽管也支持基于源码的漏洞挖掘和发现、安全检测 ， 但并不强调源代码为检测任务的必需前提 。
而之所以能够实现这一点 ， 则是该产品的主要优势所在——对二进制文件做汇编层面的反编译工作 ， 提取二进制文件汇编执行流、函数执行流的特征 ， 把这些特征统一归类 ， 然后通过机器学习并用图神经网络对漏洞特征进行模糊匹配 ， 进而得出同某真正漏洞之间的一个置信度（类似于相似度） ， 如置信度越高 ， 那么我们认为他存在漏洞的可能性就越高 。“如果置信度为1 ， 那么我们就会认为它是100%存在安全问题的 。”仙果说道 。?

• 复苏的魔女极光阵容怎么搭（复苏的魔女极光阵容搭配建议）
• 白夜极光助战角色选哪个（白夜极光助战角色选择思路分析）
• 白夜极光巨像氛围值是什么（白夜极光巨像氛围值作用一览）
• 英雄联盟手游1月20日更新3.0版本|英雄联盟手游1月20日更新3.0版本:腕豪猫咪/虎虎生威皮肤/无限火力
• 白夜极光风暴止境活动哪些奖励值得兑换（白夜极光风暴止境活动奖励兑换建议）
• 复苏的魔女极光怎么玩（复苏的魔女极光培养心得一览）
• 白夜极光阿蕾雅强不强（白夜极光阿蕾雅技能伤害测评）
• lol无限火力多久开启一次（lol无限火力开启时间介绍）
• 白夜极光火队阵容搭什么好（白夜极光火队阵容完美搭配建议）
• 金山软件遭遇“35岁危机”，曾经风光无限，如今谁能“养老”？