近年来大模型的飞速发展,让人们看到了AI的无限可能,业界在积极探索大模型在各个领域的应用。在过去的一段时间里,墨菲安全也在积极探索大模型在软件供应链安全场景中的应用。
大模型在漏洞知识库中的应用
墨菲安全后端的漏洞、软件知识库构建过程涉及到大量的语义理解工作,包括自然语言的语义、代码的语义。在过去我们通常会构建一系列的小模型来完成这些工作,例如模型A用于提取文本中提到的实体信息,从而定位漏洞影响的软件;模型B用于对漏洞描述进行分类,识别其属于哪一类漏洞;模型C用于生成漏洞的修复方案。而现在借助于大模型的能力,这个工作都可以通过一个模型完成,大模型具备的通用能力,让我们可以不用再去训练一个个小模型,并且其效果更为显著。
在漏洞修复上,开开发者往往担心升级版本带来的不兼容风险,而利用大模型强大的理解能力,可以标记可能的升级不兼容风险;针对不便于升级版本的场景,得以提供基于上下文的缓解措施。
对话式的安全助手
基于大模型,我们将推出对话式的安全助手Murphysec Copilot,将墨菲安全维护的知识库与模型结合,像顾问一样帮助用户解决代码中涉及到的各类安全风险。
Murphysec Copilot能够回答用户关于如何对组件进行选型、有哪些漏洞、解读开源许可证等开源软件安全相关的问题,模型会根据用户的问题,在墨菲安全知识库及其公开训练数据集中找到最相关的回答呈现给用户。过去我们在做调研的时候往往需要先想到合适的跟答案相近的关键词进行搜索,然后理解搜索结果,再调整关键词重复这一过程。而通过大语言模型的问答式交互,能够节省大量用在消化理解内容上的时间,我们只需要问相对清晰的问题,模型就能回答从多个维度对组件选型分析的结果、列举出对应的漏洞信息以及告诉我们哪些开源许可证是更适合商用。
模型的局限
当然现阶段模型在推理能力、缺少大规模数据集的领域上还有所欠缺,因此在安全领域还不能完全替代人进行知识的生产,专家的参与仍然是很重要的环节。
从可靠性上的角度来看,模型幻觉的存在使得我们还不能完全信任模型输出的结果,仍然需要使用者进行判断甄别。
发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/product-presentation/4878.html
