嘉宾介绍:
Socket 是一个开发人员优先的安全平台,可保护您的代码免受易受攻击和恶意依赖项的侵害。对话嘉宾为Socket 创始人兼 CEO Feross Aboukhadijeh
投资机构a16z合伙人Joel de la Garza。
本 AI + a16z 播客访谈中,和 a16z 合伙人 Joel de la Garza 讨论了开源软件供应链问题。Feross 和 Joel 分享了他们对各种主题的看法和见解,涵盖范围从最近的 xz Utils 攻击到大型语言模型如何帮助克服人手不足的安全团队和不堪重负的开发人员问题。
尽管一些日益复杂的攻击登上头条并危及无数系统,嘉宾仍然乐观地认为,大型语言模型 (LLMs) 尤其可能成为安全蓝队 (security blue teams) 的转折点。以下是部分亮点:
[14:25] Joel de la Garza:
“全新的微服务和分解开发模式在确保开发人员使用的是正确方法方面取得了巨大成功。因为之前的问题在于人们会自己构建实现事物的办法……这种新的方法实际上意味着人们在实现这些功能时,可能会使用一种经过批准的加密方法。它可能大部分都得到了正确的实现……我认为它让很多事情变得更好,但它也创造了新的攻击面,并且在实际管理进入其中的内容以及确保您验证这些内容的正确性方面带来了新的问题。”
[19:03] Feross Aboukhadijeh:
“我们从防御角度看待生成型人工智能 (gen AI) 的方式是,它不如人类查看代码那么好,但总归聊胜于无……我们的挑战在于,我们想要扫描所有现存的开源代码。这不是可以用人力完成的工作,完全不可能一直靠做下去就能做完。但是,通过正确的技术和预过滤阶段,你实际上可以将大量代码放入大型语言模型中,然后输出一系列有风险的软件包列表。
“然后,这将变成人类可以仔细查看的更少数量的代码。因此,我们把它作为一个工具……用来找到大海捞针的目标,即值得查看的内容。它并不完美,但可以帮助减少噪音,甚至可以使这个问题变得可控,而以前这个问题甚至无法处理。”
[29:23] Feross Aboukhadijeh:
“我们每天看到的是门槛太低了。你并不是在应对一个由国家支持的、为期两年的攻击。你面对的是某个人,他们在您正在使用的开源项目的某个文件底部添加了五行代码,它只是窃取了您的环境变量并将它们发送给攻击者。它就在那里。如果有人看过,他们就会发现它。它就在文件中,但实际上没有人看过。这不仅仅是您的公司没有查看,而是没有任何一家公司查看过。这就是我们每周通过源源不断的漏洞报告看到的那种事情……
“人们还存在着这样的错误观念,认为 ‘哦,它是开源的,所以它是安全的’。‘哦,我并没有编写那个代码;我编写了应用程序代码,我只是使用了这个依赖项,所以这不是我的问题。’ 但这确实是你的问题。最终,它将在与应用程序的其他部分相同的进程中运行,它将被运送到产品中,并会影响您的所有用户。所以,这确实是您的问题。”
[36:05] Joel de la Garza:
“我确实认为许多攻击者都面临着成本限制和资源限制,而这些是许多安全蓝队所没有的。而且,通常的说法一直是红队 (red team) 总会赢。但我确实认为,随着生成型人工智能浪潮的到来,如果我们相信我们可以制造出有意义的、自主型的产品,这些产品至少能达到实习生的水平,甚至是一级分析师的水平……我认为如果你能部署 10000 个这样的产品并赋予它们无限的时间,那么情况肯定会好转。即使对手也能够使用这些工具,但我确实看到了事情会明显好转的途径。”