正文

第一款ai native的越权扫描产品

admin
admin V管理员 /0 评论 /62 阅读
1112
此篇文章发布距今已超过22天,您需要注意文章的内容或图片是否可用!
创业开始,挑战目前没人解决越权。
定位
视角是黑盒视角解决这个问题,因为黑盒视角价值最大,纯商业视角来出发做这个事情。我们做的就是目前人在做,并且没有一个产品可以自动化或者能做好的。但是其实不能叫越权,因为我的目标更大,我是想做自定话的黑盒,对标的是安全专家在web应用黑盒层面的能力。
当然,我知道会有人说有一些流量层的越权检测,但是我想说,那只是个工具,现在的人被形式化验证的思路或者是思维框定的很久,完全无法融入或者进入ai native时代。ai  native核心解决的是能动性和准确率,ai驱动的产品不能保证100%,但是能解决99%,毕竟人都有决策失误,这个是人和形式化验证的产品的最大区别,这个核心区别在于设计哲学。
但是我想说,ai 是基于概率的,是神经网络,神经网络在复杂的调度下,底层还是形式逻辑,实现的,这套哲学可以融合两个看似冲突的哲学。
成本分析
目前这快全靠人,大部分公司可能连跟上版本都困难,业务部门刚发版,可能人都还没测试完成就下一个版本了,所以大部分公司只能选择一些重要的业务来覆盖,但是不重要的业务就容易泄露,实在是没办法。
趋势
并且,随着ai coding普及,未来的传统漏洞一定是越来越少的,过去的100个漏洞,ai coding的情况下压根就不会写出来漏洞了(为了防止喷子,我严谨点表达:ai coding会小概率写出漏洞)。以前一套应用100个漏洞,未来可能就1个漏洞,但是你会为了这1个漏洞部署waf吗?我之前讲过,大模型的可解释性的发展,以后大模型天然会对漏洞敏感(因为坏的事情在大脑皮层激活的区域近似,所以漏洞和炸弹是一回事),除非漏洞是跨长下文实现的,长上下文实现的漏洞绝对不是普通的SQL注入,因为大部分的WEB漏洞是特征明显的,比如拼接字符串特征。
但是跨长上下文的越权和业务逻辑高度耦合的问题会一直存在。
并且我调研了hackerone上的漏洞报告的趋势和统计:

一句话介绍产品

以产品化的形式,提供专家级的能动性,解决高推理复杂度的业务逻辑风险。

目前我们实现了以上的效果。

我们对网站整个状态做了全方位的管控,我们能让你感知整个网站所有的业务路经的可达分析,只有掌控了自己的资产,才能理解自己的资产,过去的爬虫因为缺乏智能,无法进行泛化,我公司6万多个系统,我写个爬虫,爬虫智能识别^password.*这种表达式的input框,但是你又可知道国企的业务都是外包开发的,早期的外包谁按照标准的语法开发?一个密码表单很可能是div 实现的, css hack你懂吗? 就是那种dreamwaver之类的开发的!你敢信?

所以黑盒视角第一要考虑是泛化能力,awvs这种产品连登陆个系统都困难,10个靶场能自动化登陆2个都谢天谢地了。

所以产品的核心指标是:

  • 泛化

  • 覆盖率

  • 准确率

  • 规则(智能推理)

我们目前能实现的能力是:

我们把爬虫拆开来,一个坑、一个坑的去踩,脚踏实地的一步步的解决问题,这个很复杂,国企的业务场景非常复杂,我们需要一个个解决,提升泛化,归纳能力,解决共性场景。

我们最高可以覆盖70%的场景识别,也就是如果你有6万个系统,我能覆盖你6万系统的70%,在这个并发下产生的价值是巨大的。我们并不会像传统的爬虫那样,并发巨大,给服务器造成巨大的负担。因为我们的RPM和TPM都很低。

并且我们的prompt也不会特别的高,不会产生特别大的prompt负担,运行成本比较低

一个一般复杂的业务跑下来只需要424次模型调用。最高产生120k上下文。这得益于我们的ai工程化能力。

Benchmark
我们目前的测试都是基于我们实现的靶场,这些靶场的特点是接近于生产级别的靶场,而非ctf!这点很重要,因为没有一个扫地机器人公司前身是做拖把、扫把技术积累起来的。我们不会参与任何ctf靶场的比赛,之前不会,现在不会,未来也不会。我们都是focus在客户提供真正价值的地方。
价值
目前我们的目标是让每个网站可控,可以无缝融入到sdl流程中,让整个黑盒能力大幅度提升,让安全工程师做他们更擅长的事情。
整个扫描器的核心价值在于:
  • 释放劳动力,解放智力,roi高于使用人力方案
  • 让业务场景风险可感知可控
  • 让漏洞在最后一道栅栏中消失
未来的技术路线
  • 坚定不移的解决脏数据污染问题
  • 坚定不移的干掉越权和复杂业务逻辑漏洞,实现白帽子级别的能动性
  • 坚持安全、可控、可解释性的ai native路线,抛弃套壳路线
  • 坚定不移的走agentic路线,我们不是简单的workflow封装,未来会有训练的模型
  • 通过扫描器参加hackerone
  • 放个彩蛋,这是我们下一代的模型的准确率,0.4552,不高,但是我非常有信心,未来能实现非常强的效果
  • 会有能力涌现后的版本全公司黑盒视角的监控产品(基于逻巡llm)
常见问题
1.流量检测不就可以检测越权了?答:越权都是复杂上下文的,流量层无法理解"Q27"这种参数的意思,其实Q27是一个业务选项的索引。甚至可能是“Q27l”是一种型号,越权和业务逻辑漏洞都是原子化的事务,割裂的流量无法理解上下文,这条思路必然是错的。
2.xbow pentestgpt不是实现了自动化挖洞吗?人家排行第一呢?答:xbow融资多,如果你认真关注你会发现xbow在chatgpt o1之前就宣传说自己实现了自动化的发现漏洞了,但是你如果是资深懂训练的就知道,chatgpt o1模型之前的模型都是system1的,是需要手动cot启动推理的,不存在这种复杂能动性的system2推理,他们大概率是营销驱动的公司,但凡xbow说自己在做rl我都佩服他1秒钟。pentest gpt更不用说了,是一个qa问答的chatbot,那我直接问chatgpt不就行了?这都没办法和我对比,我扫描器还要人的话我买ai工具做啥?也就是说这2款产品连基础的逻辑还没捋清楚,产品的发展路径和竞争的路线都没捋清楚,smith专员的螺丝钉是10万,我必然不会做10万的螺丝钉,也不用和我对比smith专员的能力。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网