答应大家Wireshark安全手册已经写完了(见上一篇 ),最近开始在写代码审计的安全手册。
可我没料到,一琢磨AI发现代码审计这事,无形中早已经翻了天。
为了写代码审计安全手册,我便研究了很多代码审计库,比如开源的OWASP的项目、比如Fortify的代码规则、比如XX知名工具的靶场。
翻了很久,终于找到了一款很美丽的源码(真的很好,原谅我词汇贫乏,只能用美丽来形容它)。
接下来,就是代码审计这事。我先是自己挨个翻看了一遍每一个文件的源代码,看看到底包含哪些漏洞。这样,好让心里有个底,才方便后续写代码审计的安全手册。
当然,这样的项目,对我来说没什么难度。你们是知道的。上百个文件很快就翻完了,于是边喝水边思考:这玩意儿能不能玩出点花样来?当然,很快就被我找到了。
熟悉我的人你们都知道,我主业是做人工智能的。于是,一顿操作猛如虎,找了几个AI软件,配置好几家知名的大语言模型的APIKEY。然后,就是让人惊诧的见证奇迹的时刻。
现在这阶段,AI的进化已经很智能,或者易用了。
1. 一开始,我就问它,帮我看看我的一个子文件夹,是否有漏洞?
很快,它就告诉了我答案。
与我手工翻看的,分毫不差。
2.我以为它是懵对了。不放心,于是又问了一个有难度的。
这次,它回答的有点差强人意。虽然问题找到了,但在哪一行,哪个函数有问题,它没有说清楚。
3.于是,我接着测试,上一个更难的。
很快,它告诉了我结果,还是跟上面的一样。
这时,我得怀疑是我的提示词写得不够精准。于是,我优化了提示词,它一下就把我给怔住了。
它不但找到了哪一行,还告诉我如何修改,修改后的代码差异是什么样的......这些,统统都告诉我了,简直说喂饭级的。
事情到了这一步,我不得不承认,以后代码审计这事,我们得换花样来玩了。
最后想对大家说的是:
AI进化太快了,虽然说安全工作很难被AI替代,但不代表所有的都没办法替代。今天的代码审计,就是很好的例子。
我们每一个安全人,尤其是安全毕业生,要与时俱进,多抬头看看外面的天气,别再天天低头一个劲地捣鼓那些资产了:科技是第一生产力。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...