双引擎协同 破解AI挖洞三大难题

大模型于漏洞挖掘方面展现出令人惊叹的表现, 然而直接应用于企业代码扫描时却存在诸多问题。腾讯云云鼎实验室通过对比测试发觉, 在将代码予以全量输入交由模型之后, 海量的无关代码会致使注意力被稀释, 进而使得漏报情况不但没有下降反而有所上升, 并且成本也呈现出直线上升的态势。于同一个仓库进行 10 次扫描, 每次所得到的结果均不相同, 无法满足发布流水线对于稳定性的严格硬性要求。

更加令安全团队感到头疼不已的情况是, AI查找漏洞仅仅只需3分钟, 然而人工去确认这些漏洞是不是真实存在却得耗费3天时间。安全人员所面临的审查负担并未因为引入了AI就得到减轻, 相反却需要去处理大量那些需要进行二次验证的疑似发现, 其效率提升极为有限。

AI深度审计引擎专攻SAST盲区

针对上述所提及的痛点, 腾讯云云鼎实验室开发出了AI深度审计引擎。该引擎是自研的, 它与传统的静态分析工具构建起了双引擎协同工作机制。AI引擎专门致力于攻克SAST难以进行追踪的跨模块内存安全缺陷, 以及协议状态机问题, 还有业务逻辑漏洞, 而这些恰恰是传统工具最大的盲区之处。

静态分析工具对于已知特征漏洞筛查的速度极为快速, 其结果确定无比可靠, 两路引擎并行且独立进行扫描, 最终结果合并之后去除重复, 这既保障了覆盖的广度, 又提高了对深层漏洞的挖掘能力, 系统还支持私有化部署, 能够确保源码不传输到网络外, 满足企业数据安全合规方面的要求。

渐进扫描避免注意力稀释

系统于扫描策略方面, 会先自代码库内部以及历史漏洞记录里头瞄准高风险模块。AI 引擎每一回仅处理一个模块及其相关联热点区域, 借由多轮渐进式覆盖达成全局扫描, 防止因一次性处置海量代码致使的注意力稀释状况。

这种以分模块进行聚焦的方法, 极大程度地降低了算力的消耗, 与此同时提升了单次扫描所具备的精准度。企业并非要把整体的代码库交付给大模型, 仅仅只需让AI将注意力集中于最有可能出现漏洞的关键模块, 如此便能取得更好的检出成效。

独立二次校验过滤幻觉

于验证环节之时, 系统引入了独立的二次校验机制, 自零起始再度验证漏洞代码是不是真实存在着, 触发路径能不能够可行。此一步专门用以过滤大模型在单次分析当中所产生的“自我确信”幻觉, 防止安全人员将时间耗费在虚假漏洞之上。

在最后那关, 系统会于隔离沙箱里搭建目标环境, 此时由AI引擎自动去编写PoC并且实际执行, 以此来验证漏洞是不是能够真实触发。安全人员最终所拿到的是带有PoC的确证漏洞报告, 并非是一堆需要人工去排查的疑似发现, 则审查效率得到大幅提升。

漏洞路径自动沉淀为检测规则

系统沉淀为检测规则的, 是AI确认过的不会用完即弃的漏洞路径。下次静态引擎直接分析同类问题时, 是不需要重复调用大模型消耗算力实现AI能力持续积累和复用的。

这种闭环机制使得系统的漏洞检测能力能够伴随使用持续进化, 企业接入的时间越久, 静态引擎的规则库越丰富, AI所要处理的高难度漏洞越聚焦, 整体扫描效率呈螺旋式上升。

已在开源社区和腾讯内部验证

当下, 此方案于诸多主流开源基础设施、深度学习框架以及底层系统模块里已获验证。腾讯云云鼎实验室接连向Linux、Google、Meta、Apache、OpenBSD、OISF等企业和社区呈报了好些有效漏洞且协助予以修复, 进而得到了官方验证与致谢。

与此同时, 此方案渐近式衔接腾讯内部所设发布流水线, 于代码上线之前替业务规避安全风险。当下, 这款产品已朝着企业开放试用, 给企业代码安全审计供给更具高效性的解决方案。你于实际开发期间碰到过哪些令人崩溃的代码漏洞? 欢迎于评论区分享你的经历, 点赞并收藏本文, 以使更多开发者瞧见这个效率得以翻倍的安全方案！