一、序章之《白帽寓言》
我本是一名普通的小白帽,有一天上班路上,遇到了位神秘老者,他拦住我,问道:小伙子,你是做什么的?
我大声回答:我是挖洞的!
老者摸着胡须,目光炯炯望着我:刚刚我看路边有人弄丢了几把铲子,想必是你弄丢的,那让我来考考你,你丢的是这把金铲子,还是这把银铲子呢?
我说:不是金铲子,也不是银铲子。
老者笑意更浓:对啦对啦,剧情就是这样,那你丢的是这把铁铲子吧?
我再次回答:都不是,也不是铁铲子。
老者急眼了,铲子一扔问我:不对啊,金银不是,铁的也不是?那你到底用什么铲子挖洞啊??
我挺起胸膛朗声回答:这你就不知道了吧!我是用混元大模型来挖洞的,我做了一个可自动挖掘0day漏洞的代码漏洞检测工具,还在GitHub好几个热门开源项目里,挖到了10多个真实且至今未披露的0day漏洞呢!wink(手动波浪号)
二、江湖秘闻
近日,安全江湖风言四起,传闻中的天级秘宝“AI挖漏洞利器“现世。据说这款兵器可以全年365天,24h无休的运作挖0Day,且不耗费任何蓝条。
江湖上先传出这个消息的是谷歌,24年11月1日,谷歌Project Zero团队宣布:他们的漏洞挖掘AI智能体“Big Sleep”,在全球超万亿使用量的数据库SQLite中首次发现了0day漏洞,并及时挽救了漏洞扩散的局面。此消息一出,江湖再度掀起AI挖洞热潮。
图1 谷歌Project Zero团队基于大模型技术的漏洞挖掘AI智能体架构图
AI挖洞大势之下我们也有所收获,基于混元大模型技术能力,我们研发了一款针对Java项目的纯大模型自动化漏洞检测工具,并在实战中