重磅发布丨安全玻璃盒携最新成果《基于AI的开源软件安全基因检测技术》亮相2024世界互联网大会

11月19日，由世界互联网大会、浙江省人民政府主办的2024年世界互联网大会“互联网之光”博览会在浙江乌镇开幕。安全玻璃盒受邀参与“互联网之光”博览会重要板块“网络空间安全治理”新产品新技术发布会，安全玻璃盒联合创始人＆CTO徐锋重磅展示软件供应链安全最新成果，发表《基于AI的开源软件安全基因检测技术》主题演讲，分享融合AI语言模型的自研二进制函数级关键分析能力，首创面向信创软件环境下二进制软硬件代码安全检测，吸引现场众多行业大咖、专家学者、专业观众汇聚，共同探讨软件供应链安全产品技术创新发展之道。

当前，面向信创领域的开源安全存在重大攻坚难点，为响应国家“数字中国”安全号召、解决信创软件环境下开源安全难题，安全玻璃盒结合多年软件供应链安全技术创新与应用实践，重磅发布深度打磨的“基于AI的开源软件安全基因检测技术”，针对信创软件环境下供应商以二进制等复杂交付场景，常见源码分析困难、开源成分不清、漏洞危害难以溯源、法律侵权风险难以鉴别等核心难点，基于自研的AI启发式二进制识别解包、二进制精细化多维度分析算法、AI函数级二进制检测等关键技术，实现在无源码情况下信创产品的安全性检测与评估，保障开源软件供应链安全。

基于AI的开源软件安全基因检测技术

安全玻璃盒通过分析国内市场环境需求与痛点、深入研究国内外二进制产品先进性与缺陷，自主研发基于AI的二进制函数级智能基因检测技术，该技术包含以下创新点：

（1）AI启发式二进制识别解包。通过构建一个基于多层感知机的深度学习模型，进行大量通用格式、专有格式、加壳格式的文件特征训练。基于深度学习训练的AI启发式二进制识别与解包模型，模型不仅掌握了这些格式的独特字节模式，还能识别出隐藏在其中的独特字节特征，能够深入理解和解析复杂的二进制文件结构，提供分析能力，从而对各种格式进行精准解析。

（2）二进制精细化多维度分析算法。该技术综合利用不同特征的识别方法，并将识别结果汇总，生成一个由不同维度依据组成的检测结果，从而保证高准确率和高检出率。该综合算法基于五大自研分析引擎，包括函数向量匹配、函数调用关系匹配、字符串分词特征匹配、导入导出符号匹配、组件版本号匹配等五大分析引擎。通过这种多维度分析方法，即使在面对字符串加密或缺失、符号擦除、不同平台导致哈希特征失效时，我们依然能够准确提供检测依据、有效克服传统粗粒度方法的弊端、大幅提升二进制软件成分分析的准确性和可靠性。

（3）AI函数级二进制检测。通过对二进制的多种特征进行深度分析，显著提高了分析的准确性和可靠性。通过构建了一个基于多层卷积神经网络架构的深度学习AI模型，专门用于分析从二进制内提取的各种特征。模型通过采集并反复训练分析抽象语法树、控制流图、函数基本块等特征，并兼容多种操作系统、处理器架构和编译器等，实现适应复杂的硬件和软件环境。

作为软件供应链安全领航者，安全玻璃盒通过世界互联网大会这一国际交流平台，再一次向全球专家学者、行业领袖展示软件供应链安全领先技术，未来，安全玻璃盒将持续在软件供应链安全领域不断创新发展，为数字中国软件供应链安全助力，赋能数字化发展安全底座。

— 往期回顾 —

TCSEC

   安全玻璃盒【杭州孝道科技】是一家专注于为用户提供软件供应链安全产品和解决方案的国家高新技术企业、省级专精特新企业。公司始终坚持以科技创新助力国家数字软件供应链安全，已拥有百余项自主知识产权，通过基于AI模型和卷积神经网络，自主研发了全链路智能动态污点分析、函数级智能基因检测与自动化验证等核心技术与产品，为用户提供DevSecOps安全开发解决方案、软件供应链安全一体化解决方案、上线即安全与免疫防御解决方案、基于SBOM开源软件供应链安全情报与治理、软件供应链安全安全检查评估工具等。同时也服务于亚运会软件供应链安全检查、关键基础设施用户软件供应链安全专项检查等技术支撑工作。