谢朝海
海云安创始人
谢朝海,博士,副教授,国内知名信息安全红客证券期货业等多个行业专家顾问,等保专家、计算机司法鉴定人。国家队成员20年以上从业经验。党十七大、十九大优秀支撑团队队长。2008北京奥运会、2010年广州亚运会和2011年深圳大运会网络安全保卫工作组成员。国家863、242课题核心骨干。国家等保1.0/2.0标准编制核心成员。“金盾工程”等多项国家级重大工程验收测试评估组成员。
2024年,随着AI大模型技术的持续进化,其在网络安全领域的创新应用已逐步走向成熟。那么,在开发安全方面AI大模型技术能够带来哪些全新的应用前景?它是否有可能颠覆现有的开发流程,推动行业模式的进一步变革?
谢朝海:我们看到,AI大模型技术在开发安全领域的应用潜力非常巨大的。它可以结合静态检测分析技术,来帮助开发人员从问题发现到自动修复,实现从“被动防护”到“主动防护”的飞跃。这不仅简化了传统开发流程中的“开发—安全检测—修复”模式,还可以让开发人员在编码时通过自检自修,实时优化代码。从效能和效率的角度来说,AI技术确实带来了颠覆性的变革。它大幅提高开发人员的开发效率,代码生成使得开发者从编码者慢慢在向思考者转变,AI则能快速根据上下文代码和提示词来生成代码支持,极大提升了开发效率。
海云安是如何通过 AI大模型技术来赋能开发安全的?它是否改变了传统的安全防护方式,带来了哪些创新性的解决方案?
谢朝海:我们近期推出的开发者安全助手D10通过结合AI大模型技术和自研的AST引擎,突破了传统开发安全领域的瓶颈,特别是在安全、合规、质量和效能的综合集成方面。国内目前在这类应用上还处于起步阶段,而市场上几乎没有类似的解决方案,我们的产品恰好填补了这一空白。
在开发过程中,代码助手通过自动化代码补全、生成和漏洞修复建议、自动修复问题代码等功能,极大提高了开发效能。AI不仅能在代码静态检测分析结果上进行二次验证,减少误报率,还能生成直观的漏洞解释和修复方案。这让开发人员不再需要耗费大量时间手动查找和修复问题,整个修复流程变得更加高效和便捷。
我们认为这样的创新不仅解决了传统开发方法中的痛点,还将安全防护前置到编码阶段,实现了开发的自我检查和修复,真正提升了开发过程的效率和代码质量。而企业的研发效能可以得到显著优化,开发者也能更专注于高价值工作,最终推动了整体开发流程的改进与提升。
请详细介绍一下,当前阶段贵司的这款工具都有哪些亮点或者说核心技术优势?
谢朝海:首先,D10拥有一个大语言模型评估体系,这个体系让我们能够紧跟业界大模型的发展,并且通过我们自己的评估体系和数据集,对这些模型进行深入的评估和微调。这意味着我们能够确保使用的模型是最适合我们产品的。
第二是基于评估体系研发出的“智x”AI大模型,是我们基于多年的程序分析技术积累,对原生大模型进行微调、训练和优化的结果。我们利用漏洞数据和案例,构建了高质量的指令标注数据,从而使得模型在开发安全和代码生成领域的表现更加出色。
第三是提示工程(PromptEngineering),这是一种优化大语言模型输出的技术。我们通过提供全面的上下文信息,约束模型的输出,使其在特定场景下生成更精确的内容。这得益于我们在开发安全领域的丰富经验,我们能够持续迭代优化提示词,提供有效的漏洞和程序上下文信息。
D10还使用了检索增强生成(RAG)技术,这项技术能够将用户的问题与私有知识库中的数据匹配,获取相关知识片段,并将其补充到大语言模型的交互中。这样,我们就能提供更符合语境、质量更高的回答。
在安全检测方面,D10拥有自研的AST代码扫描引擎,并且支持第三方引擎的集成。我们使用二次审计分析引擎,结合我们的分析经验,对扫描结果进行准确分析和过滤,自动过滤误报。此外,我们还有高效的增量对比算法,能够对代码版本进行对比分析,快速定位增量问题。
最后,我们基于人工智能的开源组件分析引擎技术,支持主流编程语言,能够快速精准分析开源组件信息,识别安全风险,并提供修复方案。同时,我们还有全天候的漏洞监测告警系统,提供实时的漏洞情报和风险预警。
总的来说,D10的技术亮点在于其先进的大模型评估体系、定制化的AI大模型、优化的提示工程、RAG技术,以及在安全检测方面的多项创新技术。这些技术共同确保了D10在开发安全领域的卓越性能和高效能力。
请您展开谈谈,贵司这款工具有哪些典型应用场景?如何助力企业的效能 质量 安全 合规提升?
谢朝海:我们的工具已经在多家企业中得到了应用,目前主要是在代码安全检测场景、应用合规分析场景、软件质量提升场景和研发效能提升场景来帮助他们提升了开发效率和代码质量。通过AI的辅助,开发人员在写代码的同时就能进行自检,大幅减少了代码提交后的问题。企业因此能够更快地交付高质量的产品,而不必等到后期的安全审查阶段。我们的工具还帮助企业自动生成合规报告,确保代码符合行业标准和法规要求。根据我们客户实际使用的反馈数据,在使用我们D10产品后在代漏洞检测准确率是做到了90%,千行代码漏洞率下降50%,编码效率提高30%,整体效能提高10%,企业不仅能在效能上实现跃升,还能够在安全和合规方面做到更加可靠和高效。
未来,海云安在 AI大模型技术的应用上有哪些发展规划?
谢朝海:我们确实有一个未来的远景规划,概括来说是AI赋能整个软件工程,那就是将 AI 大模型技术深度融入到整个开发生命周期。具体来说,我们规划构建一个覆盖需求、设计、编码、测试、部署、运维不同阶段的智能体,从编码阶段智能体为基础在开发全生命周期继续“左移右拓”,实现各个智能体在各个开发阶段赋能软件开发,从根本上改变企业的开发流程,来打造软件开发新范式。
公司简介
