生成式 AI 有望更快地对漏洞进行分类

AI code security

根据英伟达（NVIDIA）、亚马逊（Amazon）等公司开发的早期模型，将生成式人工智能（GenAI）模型串联起来分析软件漏洞的系统，正有效加快安全分析师对漏洞进行分类的工作。这一技术应用不仅展现出提高效率的潜力，还引发了关于人工智能在网络安全领域角色的深入探讨。

去年，英伟达推出了 Agent Morpheus，这一 GenAI 应用程序能够查找漏洞，并生成任务列表以调查发现的问题。该公司在一篇技术博客文章中指出，通过并行运行，这个代理系统大约 5 分钟就能处理一个包含 20 个已知软件漏洞的容器。英伟达网络安全工程总监巴特利・理查森（Bartley Richardson）表示，公司已从这项技术中受益，每日可扫描数千个容器。他强调：“应用生成式 AI，尤其是代理 AI，对于弥合人才缺口、应对日益增多的常见漏洞至关重要。AI 代理能提高效率、缩短识别威胁的时间，助力大规模实现安全 AI，从而增强和简化企业的网络安全工作。”

英伟达并非唯一在漏洞管理领域探索 GenAI 应用的公司。应用程序安全供应商 Veracode 将 AI 驱动的修复引擎集成到开发流程中，在集成开发环境里为开发者提供代码修复建议。Veracode 称，这项名为 Veracode Fix 的服务，能针对 10 种不同编程语言中的漏洞，平均提出 70% 的修复方案。不过，Veracode 首席技术官延斯・韦斯灵（Jens Wessling）也表示，公司专注于用 AI 增强静态分析技术，因为过度依赖 AI 可能会增加软件缺陷。他认为：“必须有人懂安全、有软件来审查 AI 生成的代码，判断其正确性。利用外部工具进行安全扫描、测试代码质量，才能确定 AI 生成的内容是否可靠。”

Agent Morpheus 和 Amazon Inspector

英伟达将 AI 应用于漏洞管理，源于其旨在帮助开发者为不同应用构建定制 AI 代理的平台。该公司的 “漏洞分析蓝图” 展示了如何大规模加速漏洞分析。英伟达称，基于该蓝图的大型语言模型（LLM）代理，能获取漏洞信息、判断威胁程度，甚至可自主行动。理查森表示，最终安全分析师能借此更快地对漏洞进行分类。“AI 代理简化了繁琐的手动工作，但不会取代分析师，而是协助他们提高效率，让分析师专注于更有价值的工作。”

这种方法被视为代理 AI，因为系统不仅能从数据中推理，还能将推理结果用于漏洞分类，并结合知识和上下文判断软件缺陷是否可被利用。英伟达的应用程序还会以 Vulnerability Exploitability Exchange（VEX）格式导出漏洞信息。

Flowchart showing the workflow of NVIDIA's AI agent

各公司纷纷探索自己的技术路径，部分企业以英伟达的蓝图为起点。去年，亚马逊云服务（AWS）的两名研究人员展示了一款应用程序，它结合亚马逊的 GenAI 系统 Bedrock 和漏洞管理系统 Inspector，可自动查找潜在可利用漏洞，并给出分类建议。该应用能分析用 Python、Java 和 JavaScript 编写的应用程序，扫描代码漏洞，若配置得当，还能向 GitHub 项目提交推送请求。AWS 无服务器首席解决方案架构师安东・亚历山德罗夫（Anton Aleksandrov）在演示中介绍：“想象一下，你推送代码，5 到 10 分钟后就收到修复漏洞的拉取请求，这不再需要人工操作，非常高效。” 代码合并修复后，系统会重新扫描，直至检测不到漏洞，这体现了 AWS 在创建用于软件漏洞修复的成熟 AI 代理方面的早期尝试。

目标并非取代人工

不过，大多数公司并不打算自动向 GitHub 推送代码，而是会进行人工审核。漏洞管理公司 Qualys 的工程副总裁绍米特拉・达斯（Saumitra Das）指出，多数情况下，AI 难以判断补丁是否会破坏程序功能，而且考虑补丁对代码库的系统性影响，所需的 “上下文窗口” 成本过高。他认为：“目前没有团队会放心让 AI 独自执行补丁操作。”

英伟达的理查森强调，GenAI 是辅助安全分析师工作的解决方案，并非取而代之。“AI 代理是分析师的帮手，能简化和加速漏洞分类、评估等繁琐工作。分析师仍是最终决策者，借助 AI 提供的见解，能更快地处理关键问题，修复更多漏洞，避免忽视低严重性的问题。”Qualys 的达斯也认同，GenAI 能帮助分析师更高效地找到答案，利用已有知识解释漏洞、说明背景，如安全问题是否影响公开资产、资产的业务关键性等。他还提到：“确定修复风险的优先级后，AI 可提供多种修复方案，并执行 API 调用或软件更新命令。关键在于建立流程，验证 AI 模型的可信度，在合适的环节引入人工审批。”