0x1本周话题TOP3
话题1:ChatGPT可以对安全行业有哪些提升?威胁情报分析?协助内部安全运营决策效率?
A1:我感觉这些事情他都做不了,大概也就是写个文字报告,ppt估计都做不了。他目前只是一个对话机器人,用的也是语言模型,需要的也是大量语料输入。之所以引起那么多关注,因为在此之前AI都没有被大众普遍关注过,有认知上的Gap,一下子出来个好玩的东西,吸引了眼球。
A2:不是哦,你去试用下就知道了,我用了一段时间,chatgpt真的很强大,不是传统意义上的机器人。对于自然语言的理解,秒杀国内所有对话机器人。但对内容安全和知识社区类的审核挑战比较大的,所以国内很快把禁掉了,怕你瞎问。
A3:威胁情分析或者内容审核之类的可以辅助。但是要理解国情,个人情感注入还是待加强。
A4:国情特色,想用还是fq吧,而且现在chat gpt不对中国大陆和香港地区提供服务,还得找非香港地区的ip才能用。现在微软开始用gpt了,但不是用问答方式。我觉得gpt真的会颠覆搜索引擎的,谷歌已经开始慌了。
A5:我找个用gpt写的文章,通过问问题写出来的。《云计算的成本与价值》https://iuboq8ha5e.feishu.cn/docx/Qd56dvTeAo552sxzfE6clNVinYe?from=from_wechat
另外还有用来扫描和修复漏洞,这种场景其实很好。《ChatGPT修bug横扫全场,准确率达78%!网友:程序员要开心了》
A6:不知道chatGPT后面是什么架构和模型,但以我对NLP的理解,这个不难,只是工程实现的问题,做和不做的问题。我相信以谷歌的能力,也能做得出。单就这个例子而言,我依然觉得是认知GAP的原因,就是你以前没想到机器居然能干出这个事情来,现在有人做到了,你会觉得很颠覆,想表达的是这个意思。当然,也可能是我认知不到位,我再去研究研究。
A7:这个和nlp有关系,但不是全部关系。《云计算的成本与价值》文章是一个非云计算的人问了10个问题组成的文章。基本上,以前并没有这个可能性。gpt能做的东西太多太多了。微软teams已经开始接入提供服务了。
https://www.microsoft.com/en-us/microsoft-365/blog/2023/02/01/microsoft-teams-premium-cut-costs-and-add-ai-powered-productivity/
Teams Premium brings the latest technologies, including Large Language Models powered by OpenAI’s GPT-3.5, to make meetings more intelligent, personalized, and protected—whether it’s one-on-one, large meetings, virtual appointments, or webinars.With intelligent recap in Teams premium, you’ll get automatically generated meeting notes, recommended tasks, and personalized highlights to help you get the information most important to you, even if you miss the meeting.
A8:看美国的互联网公司做的,space x火箭回收,chatgpt人工智能,都是利用科技进行颠覆性的创新,再看看我们国内互联网公司做的,都是想着怎么样利用科技最大化自己的利益,搞垄断,比如那个什么互联网买菜,非要跟卖菜的小商小贩抢生意,断底层人活路。
Q:可以进一步探讨下造成这种差距的原因?
A9:差距是有,但我们也是不断在创新的。类似互联网买菜,我觉得是国外环境不同,资本逐利的,要是他们和中国一样的环境,可能比我们更狠….
A10:spacex、tesla 应该属于制造业企业,所以问题能否变成为啥国内制造业企业先进性不够呢?特斯拉这种倒还行,open AI的想象力太大了。
A11:在美国,也在讨论为啥是openai 做出这种突破,各家大厂离得甚至很远。这种级别的突破,其实是国家前沿科研创新能力的比拼,不是公司层面的事情了。
A12:Open AI面前Facebook就像是个笑话。
A13:因为商业前景不明朗?即使是当前的gpt,盈利能力也不太明确,国内大厂也好,谷歌也好,都有机器人,但都没有这种级别的应用,可能是根本没想到要用来干嘛。
A14:所以,我觉得要有颠覆性的创新突破,国家层面的引导是必须的,从创新文化建立,人才引进,资金支持,政策支持等方面进行支持。但是国内得科研环境其实还是有很多需要改善的地方,留不住人影响还是很大。
A15:我倒觉得科研不非得在“学”,openAI也是微软第三代老板带着一群打工人搞起来的(第二代老板在做手机,搞全家桶,第三代在拥抱变化)
A16:这真不是。OpenAI有一个成功原因是资本对偏执天才的认可和支持,对这个世界有自己强烈主张的天才型人物(CEO/CTO/chief scientist)。
A17:不是说这些虚的,而是gpt带来的中美差距拉大,甚至某种意义来说,比火箭回收都大的多。gpt令社会效率极大提高,它目前几乎是个全领域的高三到大一水平的高速助理。本来中国的高端人才能力就不行,纯靠人多和愿意加班等输出的结果去累积成功,从而去追美国。
现在好了,美国搞个gpt,令到这种偏中低端思考,努力和人员规模带来的优势不复存在。gpt是全领域的数字助理,使得之前gartner说的公民式开发,数字自助分析等提高社会普遍效率的事情忽然走到眼前,而最悲催的是中国还跟不了,因为硬件也支撑不上,gpt现在应用使得硅谷都在抢a100,而国内并没有这个硬件基础,最终导致即使有同样的gpt技术,中国的成本可能都是别人的七八倍,甚至10倍(参看以前的人用显卡挖,后面的人用矿机挖)。
所以很有可能变成以后大部分人都是站在巨人(大学基础水平上)做相对高效的事情,而国内还在低效努力。
A18:成本不是最大的问题,现在openai不再开源了,国内ai需要真正自主创新了,不能再基于国外开源模型穿皇帝新衣发发文章、打打比赛就宣称处于世界前沿了。
A19:所以如何留住科技人才对一个国家未来的科技创新真的太重要了,我觉得中国几千年来对科技人才一直是忽视的,5000年来在科技发展上几乎是一片荒漠,搞科技的在古代被视为奇技淫巧,现代社会有所改观,但是科技人员整体地位依然低下,这也是整体科技创新弱于西方国家的一个重要原因。
A20:成本只是个客气一点的描述,就像人工犁地和拖拉机的区别,也是成本差别,但实际是个代差。
A21:整体环境文化自由程度都是对最顶尖科学人才有很大的吸引力,访问一下Google都要想办法,一些富人都跑路了,顶尖人才也不会想留在这,开放的环境早期时候搞过一段时间,现在感觉越来越严控。
A22:很明显,我们是公有制为主体,私有制的民营企业起到补充作用,民营企业能做好买菜就不错了,这也是很伟大的创新。
A23:公有制为主体,多种所有制经济共同发展。非创新性太高要求的工作以后都会被ai替代,甚至画画这种被认为艺术类的也可以 ——只要使用者能正确描述需求。
A24:来钱快,资本投资逐利变现。底层基础研究十几年没成果。大环境不一样
他们不也是资本逐利么,商业行为。感觉看老板,比如华为、大疆啊那种。
A25:chatgpt 能成功恰恰是资本逐利的结果,承诺 100 倍回报+微软合作(对抗 alphago+azure50e 代金券)
A26:会不会以后有一波人专门针对gpt这种类似的ai进行有针对性的投毒攻击?包括对某些特定领域的问题,误导或者变相的监控等等。这个又涉及到ai的对抗。
A27:这个是必然,但这个以后就不叫投毒,叫GPT SEO。
A28:短期内,一个100分可能会赢,但是长时间来看,还是一群80分会赢。而且能做好90分,相信大多数会努力做好100分,至于真正的结果,那就让结果决定好了。
A29:这句话让我想起李小龙的那句“我不怕练一万招的人,只怕把一招练一万遍的人!
A30:尽人事 听天命;不惑道路曲折,坚信前途光明。
A31:希腊精神和咱的中庸精神是有区别的。摘段艺术家的思考:雅典曾被克里特(Crete)战败,战败后约定每年必须供七男七女给一牛头人身之妖吃掉,妖名弥诺陶洛斯(Minotaur),专吃少男少女,作恶多端。克里特人以为事出神命,不敢加害弥诺陶洛斯,只能消极限制巨怪,故请建筑师代达罗斯(Daedalus)为他造一座迷楼。迷楼精巧,巨怪一进去就出不来,但建筑师代达罗斯自己进去后,也出不来了。其子伊卡洛斯(Icarus),聪明勇敢,同盖迷楼,与父同迷,数昼夜,不得出。以草图相对也无效。伊卡洛斯对父亲说,唯飞出。于是找鹰的羽毛,以蜡合成,附身,试飞成功,终飞出。父亲嘱咐:儿子,勿飞高,为太阳光熔;勿飞低,为海所淹没;中间层飞,最好。(中国中庸之道)儿不听,直飞太阳,日光熔蜡,翅脱,伊卡洛斯落海,死,成伊卡洛斯海(Icarian)。
个人看来:弥诺陶洛斯,象征欲望。建筑师代达罗斯,即制造迷楼者,象征制定伦理、制度、道德、条例者。迷楼,象征社会,监囚人,人不得出,包括婚姻、法律、契约。在社会中...建筑师也出不来,作法自毙。唯一的办法是飞。飞出迷楼。艺术家,天才,就是要飞。然而飞高,狂而死。青年艺术家不懂,像伊卡洛斯,飞高而死,他的父亲是老艺术家,懂。伊卡洛斯的性格,宁可飞高,宁可摔死。一定要飞出迷楼,靠艺术的翅膀。宁可摔死。欲望,是要关起来,现代迷楼,更难飞出,需要更大的翅膀。
什么叫金融创新,就是在金融合规边缘游走,然后突破了这些边界,才能称得上创新。在我们社会,每一个走向时代顶峰的人,都是伊卡洛斯。
话题2:有个疑问咨询一下大家,终端都是纯内网的,因为私有化企业微信需要组织在线会议,打算通过代理方式允许终端访问腾讯云的服务。终端桌面和企业微信增加了水印功能,补充事后追溯手段。现在有几个困惑:
一是属于内部终端的数据安全的管控,还有没有别的手段?
二是终端访问腾讯云,是不是还有别的漏洞,可以允许终端通过腾讯云访问到其他地方?
这样的终端还能不能称之为内网终端。
A1:这个代理是什么工具呢?是挂个代理服务器IP?
A2:打算买个商用设备,功能在测试,类似上网行为管理。开通后,除了企业微信,内网还可以访问meeting.tencent.com、meeting.qq.com。不可控的点特别多。
A3:你要看看腾讯云在企业微信的应用上的域名。像钉钉,混合部署版就是要访问很多阿里云的域名,包括*.taobao.com。而且无法穷举。看看企业微信有没有这个问题。
A4:腾讯云给了 经400个 IP/域名的白名单。目前我们也是担心加*的域名,不知道提供啥服务的IP地址,导致内网终端随意访问互联网。关键是对于数据安全管控只能是事后的技术手段了,出事了可以查一下。事中没法阻断。
Q:企业微信的在线会议真的能满足需求吗,比如你们要组个全员大会,培训,如果最终还是得买专门的在线会议系统,就不用折腾企业微信这个了。
A5:现在用saas版的够用,去年开始折腾私有化混合部署的。这个切换过程要给安全搞出不知道多少漏洞,现在还没来得及系统评估一下。
A6:那大把漏洞。看你要不要关注。毕竟2C做的企业通信软件和2B做的,还是完全不一样。
A7:你们员工不叫吗?不让随时随地用企微会议或飞书会议。手机端能安装私有化企微吗?能不能和外面人聊天呢?如果手机能安装的话,自己给自己发一个文件。自己给自己发个文件,再保存到手机里,从数据安全的角度,已经开了口子吧
A8:可以安装,是否和外部打通,看企微私有化版本的配置。我们这企业微信里的文件手机是拷贝不出来的。
A9:这是另外一个层面的事儿了,目前两套在并存,所以还没有人找上门。你们企业微信也是部署在内网的么,开通会议功能了么?
A10:在内网,没开通会议功能。手机端可以给内网客户端互发消息。本质上服务端是内外网互通的。客户端只能访问内网。
话题3:昨天看见一篇文章写cloudIDE的,国外2家做这块的案例,一个被amazon收了,一个变成反cloud ide,不过cloud ide是不是真的是以安全为需求的一个产品,从开发视角来看貌似他们可能是伪需求?
A1:在蚂蚁 推动cloudide 的重要驱动力 就是安全。可以看下《Cloud IDE 的迷茫与希望》。
A2:研发效率会降低么,大概会降低多少,不知道有没有统计过,然后说服了老板。
A3:cloudide真正做起来、用起来,挑战还是非常多,我们也是一个场景一个场景做。目前最成功的是外包前端研发,安全需求最强,也比较成熟.
A4:这个场景就好容易理解和接受了,也比较好推广了,毕竟还是信任问题。
大部分金融企业的源代码,除了一些固定密码风险较大,其他风险还好吧。源代码给你了也开不了一个银行。
A5:但可以挖你漏洞啊,当然密钥凭证泄露是首当其中的严重风险。
A6:大部分系统迭代的连自己都不知道线上是哪个版本,挖洞的投入和产出太不成正比了。一般是挖一个平台的漏洞,平行推广很多家都在用,这样才有投入产出价值。要不然就是对工农中建这种大行可能有些舆论价值。
A7:这个你就低估了,有了代码,可以大大加速渗透攻击。
A8:这就是一般企业会不会成为定向攻击的目标。要不要为此投入了,金融业也分大中小。
A9:很多金融业公司被渗透泄露了,只是自己不知道而已。CloudIDE应用小场景还是可以的;大规模推广很难,开发人员习惯是很难改的。
A10:我们前段时间也在内部通过CloudIDE实践代码不落地相关的治理,也是针对外包人员,前端开发是个比较好的落地场景,比较麻烦的是针对客户端开发这类,体验问题较多。
A11:开发人员没有主动Cloud IDE诉求,就看产品成熟度和安全需求这两者的平衡。
A12:这是事实,但被攻击的可能点太多了,小金融企业不可能面面俱到,只能选择投入产出比较大的,对自己的定位很重要,自身防御体系建设的假想敌是什么样级别的,不可能选择和工农中建一样的假想敌,不现实。
A13:这个没问题,肯定先把最严重的头部风险给解决,但如果发生大规模代码泄露事件,这个风险还是需要重视的。监管单位也会非常关心。
A14:我始终认同深圳分会会长郭总说的:大环境摆在这了,小环境要提升能力。群,能帮大家守望相助,帮大家少走弯路,但不能解决能力不足问题,不能解决意愿不足问题,不能替你走路。
0x2 本周精粹
休刊
0x3 群友分享
【安全资讯】
被裁员后、为彰显其重要性、删数据、瘫痪近 5 天:判 1 年 4 个月
在蚂蚁如何把 IDE 搬到云端?阿里集团及蚂蚁集团共建并开源的 OpenSumi 了解下
-------------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
关于业务和安全共生的解决思路探讨,滴滴数科短链接风险讨论,如何快速处置内向外的安全事件,如cs反连、挖矿等? | 总第182周
CICD流程上软件成分分析如何解决间接依赖问题、安全运营本质与安全有效性验证讨论、如何提升渗透测试质量... | 总第181周
证券公司网络和信息安全三年提升计划探讨、杂谈软件正版化律师函广撒网现象、企业报废笔记本电脑有哪些数据销毁方式?| 总第180周
如何进群?
如何下载群周报完整版?
请见下图:
原文始发于微信公众号(君哥的体历):关于ChatGPT对安全行业的影响以及国内外差距的探讨,Cloud IDE杂谈 | 总第183周
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论