2024年10月23日,看雪·第八届安全开发者峰会于上海成功举办!本届峰会以“AI时代 安全护航”为主题,聚焦AI与安全的深度融合,推动安全技术的创新与发展。由华为终端奇点安全实验室主任陈良担任本届峰会的特邀技术主持,在会议期间提出了技术见解和富有洞察力的问题,也为演讲者和听众搭建起了沟通桥梁。陈良:华为终端奇点安全实验室主任
百度副总裁陈洋为大会致辞,陈洋总提到,今年的峰会聚焦人工智能和网络安全领域的发展与挑战,强调安全是AI发展的基础,网安从业者需要共同努力推动AI安全的发展。人工智能在带来好处的同时,也带来了新的挑战,如安全性和透明度问题。为此,国家出台了一系列相关政策,网安从业者需要共同努力,推动AI安全的发展,确保在AI时代,数据、系统以及生活能够得到有效的保护。任建文:易特驰网络安全顾问
随着智能摩托车的普及,它们不仅能够提供更舒适的驾驶体验,还能通过网络连接提供各种服务和功能。然而这些摩托车真的安全吗?其本身存储着大量个人数据和敏感信息,一个简单的软件漏洞就可能让您的摩托车成为远程控制的目标。在本次议题中,演讲者深入探讨了智能摩托车在网络安全方面的脆弱性,并提出一些令人不安的问题:智能摩托车的网络安全防护措施是否足够?在现场,演讲嘉宾通过案例展示黑客如何利用智能摩托车的漏洞进行攻击,以及这些攻击可能带来的严重后果。庄园:CertiK Skyfall团队安全研究员
在Web3领域,密钥托管是维护用户资产安全的关键环节,然而,现有托管方案存在诸多不足,导致安全事件频发。演讲者围绕硬件钱包的安全性进行了深入讨论,梳理了其实现细节、安全机制和风险点,并探讨了结合TEE技术的设计与安全保证。同时,演讲者分享了基于TrustZone的移动端钱包的实现方案,并分析了真实案例中的安全漏洞,最后提供了开源方案和示例应用,以解决密钥托管中的安全问题。XZ Utils压缩库后门、CrowdStrike更新导致Windows蓝屏、黎巴嫩数千个传呼机爆炸等热点安全事件再一次敲响了供应链安全的警钟。近年来,工控系统供应链攻击频发, Codesys Runtime内核作为全球超过500多家工控厂商的共同组件,引入了公共威胁和难以及时修复的漏洞。
在本议题中,演讲者提到,近年来他们在Codesys Runtime内核中发现了10多个漏洞,这些漏洞正在严重威胁工控系统的安全性。演讲嘉宾聚焦Codesys Runtime内核的供应链安全问题,以CODESYS V2和CODESYS V3内核为研究对象,从攻击面分析、通信协议脆弱性、漏洞发现方法、高危漏洞的分析与利用技术等多个维度,深入探讨Codesys Runtime内核如何成为供应链攻击的潜在目标。罗思礼:安全研究员
目前源码分析领域存在很多优秀的静态分析工具,比如 Fortify、Joern、codeql 等,在二进制分析领域这类工具则很少见。演讲者通过对 IDA、Jeb、Joern、codeql 等工具内部实现细节的研究,最终将反编译器的语法树和源码分析引擎结合,实现跨架构、跨函数、跨二进制的数据流、控制流分析。议题以跨二进制的函数调用流分析为切入点,介绍二进制程序分析的痛点,随后介绍跨二进制分析工具的思路和实现细节,比如反编译器内部细节和插件开发技巧、Joern 和 codeql 内部细节和开发技巧。5、Rust 的安全幻影:语言层面的约束及其局限性
陈浩:奇安信天工实验室安全研究员
Rust 编程语言以其安全性而闻名,但其安全机制是否真如人们所想的那样牢固?该议题演讲者通过对Rust编程语言的安全机制进行深入分析,揭露了其局限性与潜在漏洞。首先,从Rust语言的编译二进制文件及其现有的安全问题入手,介绍了Rust语言的安全机制源自于其背后的约束,包括所有权、借用和生命周期等。然而,这些约束并非无懈可击,在现实场景中可能导致安全隐患。演讲者通过具体案例来探讨这些特征在实际应用中的表现,包括CVE-2024-24576、RUSTSEC-2024-0346和CVE-2024-27284等漏洞。同时,演讲者引入了【Rust编译期】和【用户使用期】的概念,通过这两个阶段的划分来进一步辅助识别Rust安全性的局限性与挑战。6、BULKHEAD:
通过分隔化打造内核安全的水密舱
郭迎港:南京大学计算机学院博士生
还在为挖不完的漏洞、打不完的补丁苦恼吗?攻击者只需利用一个薄弱点就能控制整个系统。那么,如何才能有效防止漏洞威胁蔓延?本议题讲师通过引入Linux宏内核的安全问题,指出由于缺少隔离,攻击者可以利用薄弱组件中的一个漏洞攻陷内核,进一步控制整个系统。为了解决这一问题,嘉宾提出了通过分隔化打造内核安全的水密舱的方案。该方案借鉴古人造船的智慧,通过增加隔板(bulkheads)构筑水密隔舱(compartments),可以有效防止漏洞威胁蔓延,避免整个系统倾覆。嘉宾通过利用Intel新引入的PKS特性,结合程序分析技术自动化地将loadable kernel modules (LKMs)分隔到互不可信的安全域中。同时,设计了轻量、新颖的in-kernel monitor保障了一系列安全不变式。实验表明该方案能够有效防止攻击者通过各类型漏洞攻陷内核,基于LLVM插桩自动化分隔160个内核模块仅产生了平均2.44%的性能开销。通过分隔化打造内核安全的水密舱,有效防止漏洞威胁蔓延,避免整个系统倾覆。嘉宾通过实验证明了该方案的有效性和可行性,提供了一种通用的、原则性的防御方案来限制潜在漏洞的影响范围。7、大模型软件生态系统的安全隐患:
从传统漏洞到新型威胁
刘昭:360 AI安全实验室高级专家
大模型软件生态系统的安全性,究竟是坚如磐石,还是如履薄冰?随着新技术的引入,传统漏洞和新型威胁正在悄然兴起,本议题将深入探讨大模型软件生态系统的安全隐患。首先,讲师介绍了随着大模型技术的迅猛发展和广泛应用,催生了一个庞大而复杂的软件生态系统,随之而来的安全隐患也逐渐显现。讲师通过分析了几起安全事件,如"Shadowray"漏洞和"Probllama"漏洞,揭示了大模型软件生态系统安全的脆弱性。接着,讲师讨论了传统的Web攻击如XSS、SQLi在大模型服务中也有新的变种,并指出随着新技术的引入,PoT代码执行、持久性提示劫持、记忆投毒等新型攻击方式正在悄然兴起。他强调这些新功能虽然可以提升大模型自身的能力,但也带来了新的安全挑战,增加了潜在的安全风险与威胁。最后,讲师展示了如何利用Agent与RAG技术实现对大模型软件生态系统的安全性检测,提供了一种有效的解决方案来应对这些安全风险。通过一步一步的阐述,讲师为听众提供了一个全面的了解大模型软件生态系统的安全隐患和应对措施。刘璐:奇安信技术研究院安全研究员
尹斌:奇安信技术研究院安全研究员
恶意软件分析的传统方法,是否已经到了极限?大语言模型的崛起,带来了新的希望。接下来的议题将展示如何利用大模型技术,革新恶意软件分析方法,提升分析效率和准确性。通过融合逻辑推理能力和传统分析手段,系统能否真正实现自动化和智能化?首先,讲师指出传统恶意软件分析方法的局限性,难以模拟人类分析师在复杂情境下的推理与关联分析能力,并介绍了大语言模型(LLM)的崛起和其在理解不同编程语言、逻辑推理机制方面的能力。接着,讲师讨论了如何通过有监督微调(SFT)技术,使LLM能够吸收并内化安全领域特定的知识体系与分析范式。同时,介绍了基于LLM技术的创新恶意软件分析方法,该方法融合了LLM的逻辑推理能力与传统的恶意软件分析手段。接着,详细介绍了该方案的技术实现,包括大模型的微调、检索增强生成(RAG)技术、嵌入模型、向量数据库及提示词技术。同时,讲师还提供了用户案例和演示,展示了该系统的高效分析能力、准确性和自动化程度。最后,讲师总结了该方案的优势和潜在应用,强调了大模型技术在恶意软件分析中的革新契机和未来发展方向。9、ExpAttack大语言模型越狱风险持续追踪框架
Knight:京东蓝军白鵺攻防实验室安全研究员
在大语言模型的快速发展中,技术的突破与安全风险并行而生。越狱攻击如何悄然潜入这些智能系统,威胁我们的数据安全?借鉴CTEM的理念,接下来的演讲嘉宾提出了ExpAttack框架,旨在揭示并监测这些隐秘的风险。讲师通过一步一步的阐述,揭开了ExpAttack大语言模型越狱风险持续追踪框架的细节。首先,讲师介绍了大语言模型技术的迅猛发展和其带来的内容安全风险。然后,讲师提到了传统安全领域中的CTEM(持续威胁暴露管理)概念,并借鉴了这一思路,提出了ExpAttack框架的概念。接着,详细介绍了ExpAttack框架的设计和实现,包括其能够持续监测和追踪大语言模型的越狱风险的能力。讲师还分享了ExpAttack框架相关的技术细节,包括其如何通过持续监测和追踪大语言模型的越狱风险来减少来自未来的风险。在人工智能的快速发展中,大语言模型已经成为一个热门话题。然而,随着其应用的广泛,安全性和风险问题也日益凸显。
本次圆桌会谈环节,由【谭晓生:北京赛博英杰科技有限公司创始人、董事长,高级工程师】担任圆桌环节主持人;4位圆桌嘉宾分别是【胡文友:北京金睛云华科技有限公司联合创始人&副总裁】、【王欣:杭州安恒信息技术有限公司高级副总裁、安恒研究院院长】、【何淇丹Flanker:京东安全獬豸实验室负责人】、【王振兴:深信服首席安全官、深信服千里目安全技术中心 CTO】。
谭晓生先生提到 AI for Security是“常常有帮助,偶尔有惊喜,还有很多坑”,5位嘉宾针对“帮助有哪些”,“什么地方可能会有惊喜”,“坑都有哪些”展开了激烈探讨。同时还讨论了大模型在安全检测、安全运营、数据分类分级、漏洞挖掘等方面的应用及其效果,分享了在实际应用中遇到的挑战,如性能问题、数据工程的复杂性、模型的可解释性、以及模型的准确性和实时性问题,也探讨了大模型在安全领域的潜力和限制,以及如何合理利用大模型来提升网络安全防护的效率和效果。此外,还涉及了在选择合适的大模型时的策略,以及对于大模型未来发展的展望。(来源:看雪学苑)
还没有评论,来说两句吧...