从态势感知到人工智能

概念热度蹭得互不认识

在某安全大会上，公司A、B、C三家公司的员工碰到一起聊技术，碰巧3人都在做“态势感知系统”，但是聊着聊着发现：

• A做的是情报系统；
• B做的是服务器日志分析；
• C做的是用户画像做风控决策的依据。

三家公司理解的态势感知完全不一样。

可见，蹭概念热度有时蹭得大家互不认识了。

现在“态势感知”与“威胁情报”一直都很火，在我的理解里面，态势是预测，情报是事实。

但显然，目前大家对此概念理解是不一致的。

当文字“一”被读作“二”，文字“二”被读作“一”时，随着此种情况的增多，必然会导致沟通障碍。

最近看到一篇PPT，又提到一个新概念叫“纠缠感知”，是指对终端与服务端的态势感知。作为一个刚看过《蚁人2》的娃，有点怀疑作者也是个漫威迷。

最近“量子纠缠”的应用挺广的，前有通讯安全、针灸论文、后有纠缠感知（算是态势感知的进阶版）。除此之外，还有“平行安全”、“拟态安全”、“有限系统的不安全经络图”……

对于玩概念事件的思考与应对

1. 提出新概念蹭热度的人，一定不是从事一线工作的人；
2. 提出新概念蹭热度的人，一定是从事理论研究为主的人；
3. 跨界知识的关联有时可能帮人更系统地掌握知识，有时可能让人走火入魔（所以我从不拿医学说信息安全）；
4. 被概念玩的人，一般是想法太多，读书太少（最近量子有点火，吓得我赶紧去读了本量子力学方面的书：《给孩子讲量子力学》），所以有空多读杂书；
5. 关注和理解新概念，但不盲目跟进。早几年国外某著名安全会议上有人提出SSRF的概念，当时我还发在同事微信群了，后来没想到这概念达到业界公认的程度，也是搞web的同学必须掌握的知识点；
6. 别以为精通“闭环”、“落地”、“赋能”、“大局观”等等专业术语就能搞好工作了……
7. 当技术的发展需要哲学思想来带动的时候，就是技术发展受阻的时候。

无AI，不开会

最后互联网安全大会的PPT都公开了（下载地址：https://pan.baidu.com/s/18mZIJcwyhtRVkPyVNDHmig），最常见的一个关键词应该算是“人工智能”，各个分论坛基本都有个标题包含“人工智能”，过程都是建模型，搞算法，训练样本，应用业务，但实现细节、应用效果，大家一般都不谈，或者是过程搞得很牛逼，结局却很惨淡。

也不是说AI没用，它在生物识别、身份鉴别、风控、内容监管、以及一些黑灰产领域被应用得挺有成效的，但在漏洞领域，似乎仍处于探索的低迷阶段。

比如某篇挖PDF漏洞的议题，基于AI生成PDF样本，先拆分收集样本的obj、stream数据，再用AI训练构造文件模型，然后再按模型组装前面拆分的数据，思路不错，但从效果看，依然觉得这是项高投入低产出的工作：

因为从结果上看，这些偏门或者旧版本的PDF阅读器，直接暴力Fuzzing就有挖到一堆，完全没必要应用到AI上，纯粹是“会议式研究”：

不过也有看到不错的议题，比如基于符号执行挖掘内核double fetch漏洞，也是第一次看到符号执行在漏洞挖掘上效果这么好，但它跟AI无关就是：