拥抱大模型-大语言模型在墨菲安全产品中的应用

近年来大模型的飞速发展,让人们看到了AI的无限可能,业界在积极探索大模型在各个领域的应用。在过去的一段时间里,墨菲安全也在积极探索大模型在软件供应链安全场景中的应用。

大模型在漏洞知识库中的应用

墨菲安全后端的漏洞、软件知识库构建过程涉及到大量的语义理解工作,包括自然语言的语义、代码的语义。在过去我们通常会构建一系列的小模型来完成这些工作,例如模型A用于提取文本中提到的实体信息,从而定位漏洞影响的软件;模型B用于对漏洞描述进行分类,识别其属于哪一类漏洞;模型C用于生成漏洞的修复方案。而现在借助于大模型的能力,这个工作都可以通过一个模型完成,大模型具备的通用能力,让我们可以不用再去训练一个个小模型,并且其效果更为显著。

在漏洞修复上,开开发者往往担心升级版本带来的不兼容风险,而利用大模型强大的理解能力,可以标记可能的升级不兼容风险;针对不便于升级版本的场景,得以提供基于上下文的缓解措施。

对话式的安全助手

基于大模型,我们将推出对话式的安全助手Murphysec Copilot,将墨菲安全维护的知识库与模型结合,像顾问一样帮助用户解决代码中涉及到的各类安全风险。

Murphysec Copilot能够回答用户关于如何对组件进行选型、有哪些漏洞、解读开源许可证等开源软件安全相关的问题,模型会根据用户的问题,在墨菲安全知识库及其公开训练数据集中找到最相关的回答呈现给用户。过去我们在做调研的时候往往需要先想到合适的跟答案相近的关键词进行搜索,然后理解搜索结果,再调整关键词重复这一过程。而通过大语言模型的问答式交互,能够节省大量用在消化理解内容上的时间,我们只需要问相对清晰的问题,模型就能回答从多个维度对组件选型分析的结果、列举出对应的漏洞信息以及告诉我们哪些开源许可证是更适合商用。

模型的局限

当然现阶段模型在推理能力、缺少大规模数据集的领域上还有所欠缺,因此在安全领域还不能完全替代人进行知识的生产,专家的参与仍然是很重要的环节。

从可靠性上的角度来看,模型幻觉的存在使得我们还不能完全信任模型输出的结果,仍然需要使用者进行判断甄别。

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/product-presentation/4878.html

(0)
上一篇 2023年5月12日 18:30
下一篇 2023年6月27日 00:49

相关推荐

  • 看到我们的IDE插件代码被友商复制粘贴了,所以我们做了一个愉快的决定

    昨天看到一个朋友给我发了一篇文章,某友商也发布了一款关于代码安全检测的 IDE 插件,其中UI和代码特征上,与我们的MurphySec Code Scan 插件有一些非常相似的地方。于是我们也简单做了一些分析: UI 对比,icon好像是一样的? 友商 IDE 插件代码中出现的murphysec字样,而且友商的插件里面并没有看到快速认证这个功能,可能是后端不…

    2023年1月5日
  • 软件供应链受威胁下的应对方法——供应链安全管理平台的五大工具能力

    背景 如今,软件供应链安全问题已经成为一个全球性的难题。根据数据统计,2017年全球遭受网络攻击的公司比例已经达到了93%,其中很大一部分是由于软件供应链安全问题导致的。而在中国,据统计,2019年全国共发生了2.7万起网络安全事件,其中不乏因软件供应链安全问题而导致的事件。 软件供应链安全问题的出现原因也较为复杂,包括第三方供应商的安全风险、源代码泄露、恶…

    2023年2月20日
  • 十年磨一剑,墨菲安全正式发布开源项目murphysec,专注软件供应链安全治理

    先抛出两个问题: 你们公司从超市买一桶水回去,喝之前会做检测吗?会担心水被人下毒吗? 你们公司的程序员从 GitHub 上 clone 一个开源项目或者组件,引入到线上项目代码中运行,你会担心有安全漏洞吗?会担心软件投毒吗? 开源技术的应用成为驱动新一轮产业数字化升级的核心动力 “迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、…

    2023年1月4日
  • 墨菲安全软件供应链安全产品v3.0正式公测之快速入门

    标题:墨菲安全软件供应链安全产品v3.0正式公测之快速入门 全新 3.0 版本帮您3分钟从代码分析、风险检测到一键修复,快速提升代码安全性 一、视频演示 以 Gitlab 全量检测为例,展示一次完整检测流程: 二、操作流程介绍 流程图展示了墨菲安全平台的基本操作流程,可供参考。 暂时无法在飞书文档外展示此内容 1、创建团队、加入团队或直接使用默认团队 已为您…

    2023年1月5日
  • 滚蛋吧,安全漏洞!这款 IDE 插件帮你轻松解决安全问题,核心引擎已开源

    滚蛋吧,安全漏洞!这款 IDE 插件帮你轻松解决安全问题,核心引擎已开源 还记得去年爆发的log4j漏洞吗?还记得经常因为代码漏洞被安全工程师追着修复的场景吗?是不是不想花太多时间去修复漏洞,又或者是不知道怎么修。 最近我们推出了一款 IDE 插件,帮助各位开发者轻松解决代码安全问题,推荐给大家! MurphySec Code Scan 简介 这款插件可以让…

    2023年1月4日

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741