返回

文章详情

VulnHunter:Capital One 的自主人工智能代码安全工具

Hacker News2026年7月17日 12:42

Capital One 的开源自主人工智能代码安全工具。 Capital One Tech 2026年7月16日 | 5分钟阅读 软件安全的规则变化速度超过了大多数防御者的适应能力。先进的人工智能模型极大地降低了恶意行为者发现和利用软件漏洞的门槛。过去需要显著技能和时间的工作现在可以实现自动化、加速和规模化。世界面临着一个越来越短的时间窗口,在此窗口内,高度复杂的下一代人工智能攻击能力将变得经济实惠,并且几乎每个对手都能访问。整个行业的组织正在争先恐后地为这一范式转变做好准备。诸如网络分段、身份控制和监控等传统环境保护措施仍然至关重要,但单靠这些措施已经不再足够。在这种新现实中,最终的防御需要转变思路:组织需要考虑并检测其代码中的漏洞,并在对手能够利用这些漏洞的高级模型之前进行修复。 在 Capital One,我们决定对抗人工智能驱动的威胁的正确反应不是等待,而是构建尖端的人工智能驱动的防御措施,并将其交到各地防御者的手中。因此,我们今天宣布开源发布 VulnHunter,这是一个先进的自主人工智能安全工具,旨在直接对源代码进行主动的攻击者视角分析。 VulnHunter 是在 Capital One 内部开发的,并不是传统的被动漏洞扫描器。它代表了一种防御工具的转变,采用自主推理工作流程来识别潜在的可利用缺陷、映射潜在攻击路径,并建议高度针对性的代码修复。 为开发者体验而打造 为了充分释放 VulnHunter 的效用,我们知道易用性很重要。传统安全工具面临的一个持续挑战是,它们通常主要是为了强制执行严格的网络安全实践,而几乎没有考虑开发者的日常工作流程。我们在构建 VulnHunter 时采用了以开发者为中心的思维方式。我们知道,安全工具能够在企业规模上成功的唯一途径是它必须是开发者真正想要使用的工具。我们专注于提升开发者在关键时刻的体验效率。通过有意缩小和减少传统开发流程中的摩擦点,VulnHunter 将开发者的负担从处理误报转移开。相反,工作流程专注于即时的、证据支持的代码修复。 底层技术:VulnHunter 的独特能力 VulnHunter 引入了几项关键技术创新,旨在最小化推测性警报并最大化可操作的修复: 1. 伪证据引擎旨在挑战其自身的结论:我们的目标是在任何结果到达开发者之前尽量减少误报。在揭示任何发现后,VulnHunter 运行一个结构化推理工作流程,专门设计用于反驳其自身论点。这个伪证据引擎主动寻找不成立的假设、漏洞路径中的逻辑缺口以及将阻止攻击成功的条件。它旨在立即丢弃依赖于不支持假设的发现。结果是,进入开发者注意范围的每个标记漏洞都经过了严格的内部挑战。每个标记的漏洞都是工具试图并失败排除的。 2. 攻击者优先的前向分析:传统工具通常利用“水槽优先”的分析,孤立地查看潜在危险的代码模式,以向后搜索假设的攻击者。这种方法可能会使工程团队面临大量误报。VulnHunter 翻转了这一模型,以模拟恶意行为者的确切路径。它从潜在攻击者可访问的入口点开始,例如 API、网络消息或文件上传,并通过应用逻辑、数据转换和内部安全检查进行前向推理。通过建模攻击者如何与系统实际交互,VulnHunter 评估攻击者是否真的可以突破。 3. 基于证据的修复建模:当缺陷通过伪证据引擎时,VulnHunter 不仅发出警报并将猜测留给开发者。它从发现问题转变为解决问题。VulnHunter 收集代码库中的支持证据,绘制出整个残存漏洞路径。它旨在提供对缺陷的清晰解释,详细说明攻击者将获得的具体能力或访问权限,并生成针对工程审查的集中、针对性代码更改。 验证 在将 VulnHunter 发布到社区之前,我们在自己的代码上运行了它。我们能够快速高效地在数千个代码库中识别和修复漏洞,涵盖数十个业务领域。以前花费我们团队大量时间和手动筛选的工作,如今...(待续)

赞助内容

NordVPN Next-gen Antivirus

本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。

请我喝杯咖啡