近日，國家發(fā)改委首次明確了“新基建”信息基礎(chǔ)設(shè)施的范圍：以5G、人工智能、云計算、區(qū)塊鏈等為代表的新技術(shù)基礎(chǔ)設(shè)施，以數(shù)據(jù)中心、智能計算中心為代表的算力基礎(chǔ)設(shè)施。國家大力發(fā)展新基建，成為企業(yè)數(shù)字化轉(zhuǎn)型的助推器。

企業(yè)數(shù)字化轉(zhuǎn)型，安全是基石。軟件漏洞是信息安全風險的主要根源之一，是網(wǎng)絡(luò)攻防對抗中的重要目標。無論從國家層面的網(wǎng)絡(luò)安全戰(zhàn)略，還是社會層面的信息安全防護，安全漏洞已經(jīng)成為信息對抗雙方博弈的核心問題之一。

目前，對于軟件漏洞挖掘主要從源代碼和二進制程序兩個層次展開。其中面向二進制程序的漏洞挖掘，從其現(xiàn)實意義到實現(xiàn)難度都是源代碼層無法比擬的。針對發(fā)現(xiàn)漏洞的最佳實踐方式有源代碼審查、模糊測試、基于規(guī)則的靜態(tài)分析、基于規(guī)則的動態(tài)分析等，這些方法在特定情況下針對特定二進制程序可以產(chǎn)生很好的檢測效果，但仍然存在一些很難突破的先天缺陷。

鑒于此，國內(nèi)一家專注于AI技術(shù)在網(wǎng)絡(luò)安全行業(yè)的應用與研究的高新技術(shù)企業(yè)極光無限推出了一款基于圖神經(jīng)網(wǎng)絡(luò)的AI自動化漏洞挖掘系統(tǒng) ——“維陣”，這款SaaS產(chǎn)品專注于二進制安全缺陷的快速發(fā)現(xiàn);對二進制文件的程序流圖(CFG)進行漏洞挖掘分析，著眼目標文件中的函數(shù)、庫函數(shù)以及各種間接跳轉(zhuǎn)，獲得程序的控制流圖的節(jié)點，結(jié)合反匯編出來的代碼或者腳本語言，從而識別出可疑的匯編代碼序列，進而快速有效地發(fā)現(xiàn)未知漏洞的一款自動化漏洞挖掘產(chǎn)品。

維陣技術(shù)架構(gòu)

據(jù)極光無限公司介紹，“維陣”這款的產(chǎn)品開發(fā)歷時十多個月、投入過億研發(fā)費用，動用了十多位數(shù)學教授、博士帶領(lǐng)五十余名研發(fā)人員，AI算法模型經(jīng)歷了超過160次的版本迭代，最終打磨成型。這款產(chǎn)品最大的特點就是圖神經(jīng)網(wǎng)絡(luò)(GNN)將圖論與深度學習相結(jié)合，突破了神經(jīng)網(wǎng)絡(luò)只能作用在歐式數(shù)據(jù)(Euclidean data)上的限制，把神經(jīng)網(wǎng)絡(luò)強大的特征提取能力擴展到非歐數(shù)據(jù)(non-Euclidean data)上，通過結(jié)果反饋和優(yōu)化輸入的生成過程以求產(chǎn)生更優(yōu)秀更少的測試輸入，達到加快挖掘效率，增加挖掘深度的目的。

維陣采用SAAS服務模式，簡單易用

不僅如此，產(chǎn)品采用的是SaaS的服務模式，用戶只需要將需要進行檢測的二進制文件拖入，剩下的檢測工作將完全交給系統(tǒng)來完成。隨著AI自我學習的完善，該系統(tǒng)的漏洞檢測率將越來越高，漏洞檢測時間將越來越短。這意味著，這款AI自動化漏洞挖掘系統(tǒng)不僅僅適用于安全研究人員，對于并不擅長漏洞挖掘的開發(fā)人員而言，同樣適用。這樣做的好處顯而易見——在產(chǎn)品上線之前，就能發(fā)現(xiàn)存在的安全問題，進一步提高產(chǎn)品的安全性，避免未來因安全漏洞造成更大的損失。

據(jù)了解，目前極光無限公司已經(jīng)正式上線“維陣”的公測版本，邀請廣發(fā)開發(fā)者試用公測(公測地址：https://vul.secwx.com)。目前該系統(tǒng)由于版權(quán)、隱私保護等相關(guān)政策需要完善，僅支持X64架構(gòu)Linux平臺的開源二進制文件檢測，Windows平臺的二進制文件禁止上傳。另外其將優(yōu)先支持區(qū)塊鏈領(lǐng)域的二進制文件檢測和國產(chǎn)操作系統(tǒng)(如UOS)的檢測，其他架構(gòu)平臺(ARM、MIPS等)后續(xù)也將提供支持。

關(guān)于極光無限：

極光無限，成立于2019年3月29日，坐落于蘇州金雞湖畔的5A級寫字樓蘇州中心D座;是一家深耕于AI技術(shù)在網(wǎng)絡(luò)安全行業(yè)的應用與研究，并為政府、運營商、金融、能源、互聯(lián)網(wǎng)以及教育、醫(yī)療等行業(yè)用戶提供全方位安全解決方案和體系化安全服務的科技公司。

極光無限，主營業(yè)務為自有網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)和銷售、行業(yè)客戶安全解決方案和相關(guān)安全服務。主要產(chǎn)品及服務包含：AI自動化突破和攻擊模擬產(chǎn)品、AI自動化漏洞挖掘產(chǎn)品和網(wǎng)絡(luò)空間資產(chǎn)測繪產(chǎn)品;漏洞分析服務、高級紅隊測試服務以及行業(yè)AI安全解決方案等。