海云安谢朝海:开发安全领域大模型新实践 人工智能助力高效安全左移
2023年11月29日,2023中国(深圳)金融科技大会成功举行,该会议是深圳连续举办的第七届金融科技主题年度会议,也是2023深圳国际金融科技节重要活动之一。做好金融工作,需要兼顾创新与安全,当智能体、大语言模型创新应用成为金融科技的前沿热点,由其衍生出的复杂多元的伦理问题和潜在安全风险该如何化解,也成了会议重点讨论方向之一。
图/海云安创始人&董事长谢朝海博士
“算法不是算计,无底线则窄;科技要讲伦理,有敬畏才宽。”海云安创始人&董事长谢朝海博士出席本次大会,并在金融科技伦理及治理分论坛上发表主题演讲时强调,数字化技术变革对全行业带来重大机遇与全新挑战,对于金融领域开展科技活动而言,需要重点关注技术开放性带来的安全边界模糊问题,以及业务功利性带来的道德伦理失范问题,以规避网络风险、数据风险和业务风险。
数据&隐私安全
是伦理治理和网络安全共同关注点
全行业都需要合法合规开展业务经营,谢朝海关注到的是,其中数据和隐私安全已成为伦理治理和网络安全的共同关注点。“如果算法已经带了算计,科技就无法体现。就很容易诱导出信息不对称、道德风险等金融伦理失范问题,也会带来数据和隐私安全问题。”当前,金融科技伦理监管力度持续加大,在谢朝海看来,行业规范当中要求的守正创新和数据安全是重中之重。
对于数据安全而言,则是全行业合规遵循要点,随着“1+3+N”(“1”是指国家安全法,“3”是指网络安全法、数据安全法、个人信息保护法,“N”是指各领域其他上位法完善法规等)网络安全法律法规体系逐渐完善,全行业都关注到了一个信息,那就是监管执法越来越严格,越来越密集。从单次披露“依据《数据安全法》办理行政案件336起”,到最近工信部发布领域内数据安全行政处罚裁量指引试行征求意见稿,都意味着数据安全和隐私保护的监管执法全持续加强。
安全左移
是数据&隐私安全合规之道
数字经济进入发展快车道,其中的数据安全保护工作被定义为数字经济的“生命线”。谢朝海总结了当前阶段数据安全和隐私保护主要面临的六大风险,共包括隐私违规收集、数据安全漏洞、数据处理不当、跨境数据传输、数据共享不当、产品缺乏透明度和公开性。可以看到,以上风险也均为伦理治理和网络安全共同关注要点。
“针对这些挑战和风险,海云安做了实践和思考,提出了‘多标融合、安全左移和右拓运营’应对之道。”据介绍,海云安首先把国内外多地区对于数据和隐私的法律法规,以及相应技术标准规范进行了融合分析,理清了其中的重点监管和规范要求,以便从数据安全管控体系建设角度实现数据和个人信息保护主体责任的落实。最终,以金融科技一侧用例来讲,将实现在具体的金融科技小程序、APP和相关业务系统上进行融合性的以左移的方式实现安全运营。
谢朝海强调,安全左移该理念体系的重中之重,而实现PBD(隐私设计)&代码安全检测是其核心关键。据了解,作为开发安全赛道一员,海云安日前发布了一款名为“「开发者安全助手」”的产品,面向软件开发人员、编程人员提供安全赋能,行业内首创将白盒安全检测、开源组件检测、应用安全合规、安全大模型等多方面安全能力嵌入到开发环境中,从而实现高效能的安全左移。
大模型应用:
海云安的代码安全检测新实践
2023年是AI技术大爆发的一年,安全产业都在加大这方面的研发力度,努力探索在安全产品上增加AI大模型用例,其主要集中在安全辅助和智能化检测两大方向。海云安开发者安全助手就是一款AI大模型加持下的安全产品,其可提供智能、高效的代码安全检测分析及修复能力。
据谢朝海介绍,传统的代码安全检测工具有几大难题:误报率高,缺陷成因解释不直观,给开发人员带来困扰,其中修复方案不佳,开发人员需具备较高水平才能修复,或需要安全人员进行协助,工作效率低下。
融合了AI大模型技术的开发者安全助手具备以下四大特点:
-
AI辅助生成规则——提高测试广度和深度
通过内置AI能力可辅助生成检测规则提升检测覆盖率,全面增强检测、验证、修复效果;
-
AI生成漏洞成因——易于理解根本原因
内置AI能力可根据当前实际代码分析漏洞的形成原因、利用方法和修复方案;
-
AI降低检测误报——开发自主无需安全部门介入
通过融合SAST、SCA等技术进行分析,高效识别代码已有安全防护手段,运用AI大语言模型,极大降低误报率;
-
AI自动修复代码——加快速度和降低难度
可支持AI自动生成修复方案,开发者确认无误后,可点击接受,即完成AI自动修复代码。
也就是说,将AI大语言模型技术融入开发者安全助手当中,将为开发者提供自动生成针对性的缺陷成因解释、自动生成修复代码等功能,在提高代码质量的同时,通过对话的交互,开发者还能够参考大模型生成的代码编写用例,来大幅提高编程效率。对于开发者而言,安全大模型的加入将带来肉眼可见的增益。
谢朝海结合海云安开发者安全助手在银行、券商和基金公司的客户案例延伸指出,代码安全检测技术的国内外普遍的误报率是在40%-50%之间,通过引入AI降低误报率,其准确率可提升到了90%,甚至是95%以上。另外通过AI加持其检测速度也提升了10倍,如规模级的整体检测需1小时才能完成的话,海云安开发者安全助手只需7分钟就可以完成。由于准确率和效率的全面提升,系统运营的压力将得到有效缓解,对于系统的安全性、数据和隐私保护将起到很好的作用。
“甪端20” 勇于创新
持续引领行业高水平发展
此前,在本次大会的主会场上,海云安刚刚获评为“2023年粤港澳大湾区金融科技甪端20企业”。甪端(lù duān)——中国神话传说中的神兽,能够日行一万八千里,通四方语言,且只伴明君。以“甪端”为名,代表着入选企业具备勇于创新、敢为争先的开创精神,甪端企业也被认为是大湾区金融科技产业的未来,将持续引领行业高水平发展。
相关文章:
海云安谢朝海:开发安全领域大模型新实践 人工智能助力高效安全左移
2023年11月29日,2023中国(深圳)金融科技大会成功举行,该会议是深圳连续举办的第七届金融科技主题年度会议,也是2023深圳国际金融科技节重要活动之一。做好金融工作,需要兼顾创新与安全,当智能体…...
Postman接口测试工具完整教程
前言 作为软件开发过程中一个非常重要的环节,软件测试越来越成为软件开发商和用户关注的焦点。完善的测试是软件质量的保证,因此软件测试就成了一项重要而艰巨的工作。要做好这项工作当然也绝非易事。 第一部分:基础篇 postman:4.5.1 1.安…...
Android 滑动按钮(开关) SwitchCompat 自定义风格
原生的SwitchCompat控件如下图,不说不堪入目,也算是不敢恭维了。开个玩笑... 所以我们就需要对SwitchCompat进行自定义风格,效果如下图 代码如下 <androidx.appcompat.widget.SwitchCompatandroid:id"id/switch_compat"android:…...
)
前端面试灵魂提问-计网(2)
1、websocket 为什么全双工? 1.1 WebSocket是什么 WebSocket 是一种通信协议,它在客户端和服务器之间建立持久的全双工连接。全双工意味着数据可以双向流动,即客户端可以向服务器发送消息,服务器也可以向客户端发送消息,而无需…...
Git修改远程仓库名称
1、先直接在远程点仓库名,然后左侧菜单栏找settings-general,然后直接修改工程名,保存即可。 2、还是在settings-general下,下拉找到Advanced点击Expand展开,然后下拉到最底部 在Change path里填入新的项目名称&#x…...
kafka 集群 ZooKeeper 模式搭建
Apache Kafka是一个开源分布式事件流平台,被数千家公司用于高性能数据管道、流分析、数据集成和关键任务应用程序 Kafka 官网:Apache Kafka 关于ZooKeeper的弃用 根据 Kafka官网信息,随着Apache Kafka 3.5版本的发布,Zookeeper现…...
【LeetCode】 160. 相交链表
相交链表 题目题解 题目 给你两个单链表的头节点 headA 和 headB ,请你找出并返回两个单链表相交的起始节点。如果两个链表不存在相交节点,返回 null 。 图示两个链表在节点 c1 开始相交: 题目数据 保证 整个链式结构中不存在环。 注意&am…...
TZOJ 1429 小明A+B
答案: #include <stdio.h> int main() {int T0, A0, B0, sum0;scanf("%d", &T); //输入测试数据的组数while (T--) //循环T次{scanf("%d %d", &A, &B); //输入AB的值sum A B;if (sum > 100) //如果是三位数{…...
制作openeuler的livecd
下载该项目,执行下面的操作gitee openeuler livecd项目 基于openeuler环境 #安装工具,第一次可能报错,可以再执行一次 make installx86 livecd-creator -d -v --config./config/euler_x86_64.ks --fslabeleuler-LiveCD --cachecache --log…...
B.牛牛排队伍——模拟双链表
当前位置: 首页 > news >正文 B.牛牛排队伍——模拟双链表 news 2023/12/1 15:14:37 分析 题目其实很简单,就是双链表的增删查,但是刚开始,直接vis标记删除元素,查找一个位置的前一个用的while不断向前找,但是TLE;毕竟O(n*k)的复杂度,一开始没有考虑时间复杂度…...
损失函数与优化器)
【PyTorch】(四)损失函数与优化器
文章目录 1. 损失函数2. 优化器 1. 损失函数 2. 优化器...
执行insert之后没有插入数据)
【Python】使用execute(sql)执行insert之后没有插入数据
在sql为insert语句,用Python的sqlalchemy模块中的execute()执行之后没有插入数据的情况,主要是因为sqlalchemy版本的更新,不能直接只用execute()了,MySQL数据库连接的配置和sql都需要多处理一步: 之前的版本ÿ…...
虚拟机备份数据自动化验证原理
备份数据成功备份下来了,但是备份数据是否可用可靠?对于这个问题,最好最可靠的方法是将备份数据实际恢复出来验证。 但是这样的方法,不仅费时费力,而且需要随着备份数据的定期产生,还应当定期做备份数据验…...
前端入门(五)Vue3组合式API特性
文章目录 Vue3简介创建Vue3工程使用vite创建vue-cli方式 常用 Composition API启动项 - setup()setup的执行时机与参数 响应式原理vue2中的响应式vue3中的响应式ref函数reactive函数reactive与ref对比 计算属性 - computed监视属性 - watchwatchEffect Vue3生命周期自定义hook函…...
Doris 数据导入二:Stream Load 方式
Stream load 是一个同步的导入方式,用户通过发送 HTTP 协议发送请求将本地文件或数据流导入到 Doris 中。Stream load 同步执行导入并返回导入结果。用户可直接通过请求的返回体判断本次导入是否成功。 1 适用场景 Stream load 主要适用于导入本地文件,或通过程序导入数据流中…...
【算法刷题】Day10
文章目录 15. 三数之和题干:算法原理:1、排序 暴力枚举 利用set 去重2、排序 双指针 代码: 18. 18. 四数之和题干:算法原理:1、排序 暴力枚举 利用set 去重2、排序 双指针 代码: 15. 三数之和 原题链…...
SAP 如何检查已安装的SAP UI5 版本
第一个方法是直接从FLP中查看 但是部分高版本的FLP中没有这个about, 那么在当前界面可以使用:CTRL ALT SHIFT S 查看当前版本 根据此版本,去进行你的UI5的开发吧...
15、 深度学习之正向传播和反向传播
上一节介绍了训练和推理的概念,这一节接着训练和推理的概念讲一下,神经网络的正向传播和反向传播。 其实单看正向传播和反向传播这两个概念,很好理解。 正向传播(Forward Propagation)是指从输入层到输出层的数据流动过程,而反向传播(Backpropagation)是指数据从输出…...
微信小程序中复制文本
在微信小程序中,可以使用wx.setClipboardData()方法来实现复制文本内容的功能。以下是一个示例代码: // 点击按钮触发复制事件 copyText: function() {var that this;wx.setClipboardData({data: 要复制的文本内容,success: function(res) {wx.showToa…...
vue3学习--初始
...
)
论文解读:交大港大上海AI Lab开源论文 | 宇树机器人多姿态起立控制强化学习框架(二)
HoST框架核心实现方法详解 - 论文深度解读(第二部分) 《Learning Humanoid Standing-up Control across Diverse Postures》 系列文章: 论文深度解读 + 算法与代码分析(二) 作者机构: 上海AI Lab, 上海交通大学, 香港大学, 浙江大学, 香港中文大学 论文主题: 人形机器人…...
uni-app学习笔记二十二---使用vite.config.js全局导入常用依赖
在前面的练习中,每个页面需要使用ref,onShow等生命周期钩子函数时都需要像下面这样导入 import {onMounted, ref} from "vue" 如果不想每个页面都导入,需要使用node.js命令npm安装unplugin-auto-import npm install unplugin-au…...
YSYX学习记录(八)
C语言,练习0: 先创建一个文件夹,我用的是物理机: 安装build-essential 练习1: 我注释掉了 #include <stdio.h> 出现下面错误 在你的文本编辑器中打开ex1文件,随机修改或删除一部分,之后…...
【机器视觉】单目测距——运动结构恢复
ps:图是随便找的,为了凑个封面 前言 在前面对光流法进行进一步改进,希望将2D光流推广至3D场景流时,发现2D转3D过程中存在尺度歧义问题,需要补全摄像头拍摄图像中缺失的深度信息,否则解空间不收敛…...
全球首个30米分辨率湿地数据集(2000—2022)
数据简介 今天我们分享的数据是全球30米分辨率湿地数据集,包含8种湿地亚类,该数据以0.5X0.5的瓦片存储,我们整理了所有属于中国的瓦片名称与其对应省份,方便大家研究使用。 该数据集作为全球首个30米分辨率、覆盖2000–2022年时间…...
[10-3]软件I2C读写MPU6050 江协科技学习笔记(16个知识点)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16...
微服务商城-商品微服务
数据表 CREATE TABLE product (id bigint(20) UNSIGNED NOT NULL AUTO_INCREMENT COMMENT 商品id,cateid smallint(6) UNSIGNED NOT NULL DEFAULT 0 COMMENT 类别Id,name varchar(100) NOT NULL DEFAULT COMMENT 商品名称,subtitle varchar(200) NOT NULL DEFAULT COMMENT 商…...
【碎碎念】宝可梦 Mesh GO : 基于MESH网络的口袋妖怪 宝可梦GO游戏自组网系统
目录 游戏说明《宝可梦 Mesh GO》 —— 局域宝可梦探索Pokmon GO 类游戏核心理念应用场景Mesh 特性 宝可梦玩法融合设计游戏构想要素1. 地图探索(基于物理空间 广播范围)2. 野生宝可梦生成与广播3. 对战系统4. 道具与通信5. 延伸玩法 安全性设计 技术选…...
音视频——I2S 协议详解
I2S 协议详解 I2S (Inter-IC Sound) 协议是一种串行总线协议,专门用于在数字音频设备之间传输数字音频数据。它由飞利浦(Philips)公司开发,以其简单、高效和广泛的兼容性而闻名。 1. 信号线 I2S 协议通常使用三根或四根信号线&a…...
wpf在image控件上快速显示内存图像
wpf在image控件上快速显示内存图像https://www.cnblogs.com/haodafeng/p/10431387.html 如果你在寻找能够快速在image控件刷新大图像(比如分辨率3000*3000的图像)的办法,尤其是想把内存中的裸数据(只有图像的数据,不包…...