奥义智慧

用生成式AI帮助资安应用，不只是微软与Google的一举一动受广大关注，在迈向2024年之际，我们更是可以发现，已有几家台湾资安业者率先投入发展，并且实际端出可应用的产品。这不仅突显台湾资安业者的技术实力，也显示他们及早布局、持续关注之余，也累积实作经验，才能在技术浪潮的一开始，就有了相关成果与进展。

有哪些台湾业者行动最积极？早在2023年5月台湾资安大会，也就是微软预告推出Security Copilot没多久，知名资安新创奥义智慧就展示，将AI虚拟分析助手导入新的XCockpit平台，能提供中文案情摘要与处置建议，7月上线。

接下来是趋势科技，6月宣布Trend Vision One整合式资安平台，将提供自然语言聊天介面的AI助手Companion，7月开放部分客户使用，最近11月27日，已正式向所有客户开放这项应用。

另外，资安监控委外服务商安碁资讯在本月举行的年度媒体资安讲堂，也首度透露，他们要用ChatGPT帮助资安服务与资安工作，并制订3大发展方向，目前发展进度已达到7成。

显然，在许多资安业者都高喊AI资安，以及国际大厂陆续用生成式AI帮助资安之下，我们确实看到台湾已有资安业者，同样看好新技术带来的创新与机会，并在2023年已积极展开相关行动，未来2024年，我们也期盼更多台湾资安业者能够需与时俱进，善用特性以提升效率。毕竟，在骇客积极利用生成式AI的状况之下，如果国内资安业者没有善用AI自动化的做法，很有可能更无法跟上日益加剧的威胁态势。

基於厂商公开展示与揭露这些功能的时机都在2023年的条件限制，这次探讨AI资安的封面故事，我们特别选择奥义智慧、趋势科技、安碁资讯这3家业者，与他们一起探讨最新的发展态势。

与工作流程整合是关键，从解决用户问题的角度出发

关於用生成式AI帮助资安这件事，奥义智慧有很深刻的想法，该公司创办人邱铭彰特别说明了他们的发展策略。

他指出，应从解决前线人员问题的目标开始设想。因为，目前资安人员使用资安系统时，面对各种警示，通常会看到介面上有相当多的资料需要解读，因此，这里的最大挑战在於，未完成充足训练的人员根本看不懂，即便厂商培养这方面的人才，也很容易被挖角。

所以，现在如果能在资安领域善用生成式AI技术，可以快速产生事件摘要、建议措施，将能直接解决使用者的需求。更重要的是，可藉此大幅减少平均侦测时间（MTTD）、平均调查时间（MTTI），并且使事件本身的解读更有意义。

同时，这也将改变资安团队运作效率的量测。而在奥义智慧自家的XCockpit介面上，已经将这两项指标直接显示於首页仪表板，作为重要观测指标。

关於生成式AI在操作体验上带来的简化，其实我们陆续从各家厂商发展看到例子，并认为可能带来新的变革，像是可藉由一问一答方式查询，也能点击AI给出的建议按钮执行，还有AI自动建议通知的形式，让相关设定与操作变得更简化与不同。

邱铭彰也有同样看法，他认为，最大的变化就是发生在使用者体验，他预见资安系统UI介面将朝向更简洁发展，因为过往资安系统的介面很复杂，需要显示相当多的资料，但从用户角度而言，只要能够解决问题就好，这才是根本。

此见解可从奥义智慧展示的XCockpit平台介面得到印证，我们发现，当中并未特别设计自然语言输入的对话框。

邱铭彰表示，他们的工单管理系统已能自动整并案件，使用者只需要点击，就可以看到自动化调查的结果，包括手法、攻击来源与出建议等，即便一段Base 64编码的内容、命令列的指令内容的分析，也只要点击选项，就会提供简显易懂的说明。

他并以近期向客户展示的经验为例，当时他们进行红蓝队演练，AI资安系统可以做到「当侦测到攻击发生到哪，针对攻击的解说也就可以到哪」，这样的呈现方式彷佛游戏直播。

邱铭彰强调，现在很多业者的生成式AI应用，都是产生威胁情资的辅助说明，但整合在工作流程才是关键，并且要让生成式AI能做资安决策，并不只是单纯提供操作辅助，如同自驾车Level 2与Level 3的差异。他认为，这是台湾资安厂商发展AI功能时可以思考的方向。

如此看来，奥义智慧已设想将生成式AI与工作流程深度整合。不过，对於交由AI来进行决策，我们也忧心这麽做真的可行吗？邱铭彰表示，用於资安是可以的，但与人命相关的请不要交给AI。

另一个我们好奇的问题是：过往资安业者就已经在使用AI/ML模型，与生成式AI相比，究竟有何具体差异？

邱铭彰解释，以奥义智慧而言，他们过去开发三个AI小模型，以此来让案情分析做到更准确，第一个AI模型帮助挑出重要的事件，第二个AI模型可组成案情结构并将事件轴串起，第三个AI模型能将案情解说成中文并产生建议，而他们的CyCraftGPT，目前版本是基於可商用LLM模型Mistral而打造，当中还有以台湾习惯用语来训练。

总合而言，CyCraftGPT与先前AI模型的使用并不冲突，而是可以更好将多个AI模型的效果串联起来。

另外，邱铭彰也预测，不仅资安系统UI会朝向简洁设计，还会出现很多聊天机器人，这就如同ChatGPT服务，介面其实就只是对话框的形式，并没有复杂的UI设计。

他还透露，公司目前最想解决的两个问题：一是用於产品手册与说明书的查询；另一是国外资安情资新闻的汇整，这将能帮助资安长更好理解，也是改进资安服务的体验。

值得一提的是，在2023年底，奥义智慧也在日本资安大会SECCON发表适用於资安产业的AI评估标准，名为Adaptive Evaluation Security Guard（AESG），其作用为减缓大型语言模型相关风险，包括资料外泄、Prompt攻击、以及AI幻想等问题，以及确保他们另一项生成式检索增强（RAG）系统CyberSensei的可使用性及正确性。

建构高度弹性的介面，资安的新手、老手，以及资安长都可受益

很早就从台湾跃上国际资安舞台的趋势科技，他们的资安产品线可说是相当庞大，因此，他们在2021年就打造Trend Vision One整合式资安平台，当中以XDR为核心，并结合更多产品功能，随着2023年AI资安助手Trend Companion的推出，将能够带来哪些助益？

他们表示，Trend Companion是利用自然语言的聊天介面提供服务，这个AI助手可以带来很多帮助，不论是事件摘要与分析报告、解释攻击警报与关联攻击战术与技巧，并可清晰呈现影响范围等，还能帮助识别利用合法工具的寄生攻击（LotL），并产生让人员可以易於理解的解释内容。

同时，趋势科技也阐释了这些帮助所带来的效益，不仅是扩大并加速资安维运工作，更大意义就是，能够帮助每个不同角色，使得每个人都能有效利用趋势科技的服务，而其背後的关键就是，AI助手Trend Companion带来的高度弹性介面。

例如，不只是让资深分析师在面对复杂环境时，可以快速追踪威胁，也能为资安新进人员带来帮助，甚至无论是资安长或事件处理专员，每个人都将可以根据自己的需求，获取定制化的资讯。

由於生成式AI的特性，就是能够分析庞大的资料集，并能理解与摘要资讯的内容，还能产生新的内容，因此，趋势科技明确指出，生成式AI与传统AI/ML最大的差异，就是在於其高度的弹性和能力，以及用自然语言来接受命令和回答问题。

而这样的特性，对於处理资安事件尤其重要。因为这些事件，通常涉及广泛的知识和繁琐的查询工作，如今有了AI自动助手，将能快速生成查询脚本，解释复杂事件，并且调用LLM内部的知识，这将大幅提高使用者的工作效率。

对於不同AI技术的优势，趋势科技认为，以传统的机器学习（ML）而言，在准确性方面表现良好，主要用在侦测恶意程式方面，尤其对变种恶意程式；而生成式AI对於理解恶意程式的意图，以及威胁入侵事件处理，应用是更加合适。因此，他们预期，生成式AI资安的应用还会持续扩张。例如，未来在XDR平台的搭配之下，经过长时间的学习，将可对跨不同资安产品之间的事件，提供资安处理建议。

聚焦自动化工具开发，以及资安知识库与问题谘询的应用面

另一家资安监控委外服务商安碁资讯，其应用虽然不是针对资安产品面，但他们年底向台湾媒体揭露公司发展近况时，特别提到借助ChatGPT帮助资安服务与资安工作，预计发展三大方向。

该公司技术副总黄琼莹表示，这些面向分别是：自动化检测工具开发、资安文件知识库建立，以及资安实务问题谘询。上述应用的发展都将基於生成式AI，其核心为GPT-4，不过，因为这些用在公司内部，他先要强调遵循三大原则：「不输入公司内部敏感资讯」、「不输入客户相关机密资讯」、「不将对话用作大型语言模型的训练资料」。

关於具体应用场景，黄琼莹表示，以自动化工具开发为例，工程师在整理使用者开发需求时，可透过LLM协助，生成初步架构、程式码语法，有效降低沟通与开发成本。同时，LLM能协助撰写单元测试，降低正式运行时的错误发生率。

再者，LLM的应用有助於建立资安知识库，提升内容的正确性并减少编写弱点范本的时间；至於资安实务问题谘询的应用，由於LLM能分析客户提问，提供相关资讯，这将加速回应客户的速度。

不只是生成式AI技术，黄琼莹也提及公司应用其他AI技术的最新进展。他指出，深度学习与生成式AI的概念不同，生成式AI是有创作（造）力的，会依其训练模型而产出相对的资讯。

以安碁资讯2023年导入的Auto Encoder技术而言，此一深度学习是学习从输入到输出的复杂映射关系，并依此建立特定行为模型，当新资料输入将可判断与以往不同的行为；此外，2024年安碁资讯还将发展用AI引擎决策判断资安事件，可透过每月蒐集大量资料，结合现有已知资安事件的处理经验，进行监督式学习，其成果将是：仅需新接收到的特定日志纪录，即可由监督式学习的结果，判定是否为资安事件。

换言之，每个资安事件判定不需要都预先设计好规则，如此可降低人力的投入。此外，这些巨量资料也同样与机器学习结合，产生异常侦测、预测分析以及归类等模型，使其更具效率。这项AI引擎计画目前也已在进行中。

生成式AI资安应用也扩及开发人员

综观此一发展态势，不论是中小资安业者或是国际资安大厂，对於生成式AI资安的发展，已经找出适用面向并付诸行动，这些都会是相当重要的讯号。

对於其他台湾资安产业而言，应该也要设法积极采取行动。毕竟，当攻击者都在用生成式AI让攻击伎俩大幅进化，防御者若是完全没有任何想与因应动作，或是仍未察觉新技术所带来的各种改变，恐怕会面临相当危险的局面。

无论如何，过去几年我们在谈AI资安时，资安界期望在很多面向都能用AI来助攻，包括：内容过滤、未知漏洞检测、密码安全、恶意程式分析、异常侦测、钓鱼侦测、事件应变训练等。如今随着生成式AI的市场应用已然成形，也将带来更多应用发想。

尽管大家都知道，科技发展一直是双面刃，我们预期AI将升级既有威胁手法与破坏规模，或是带来新的威胁，但在许多防护层面的实践作为上，我们也能设法善用其特性，有机会做到更自动化的侦测，以及更快速的反应。

而且，AI能帮助资安的层面，不只是资安产业，软体开发领域也能受惠。像是提升开发人员写程式生产力的GitHub Copilot，在2023年就新增一项功能，是基於LLM的AI漏洞预防系统，能在开发者撰写程式码之际，避免写出不安全的程式码，这也是应用方式之一。

GitHub Copilot在2023年新增AI漏洞预防系统

关於GitHub Copilot，是由GitHub与OpenAI合作打造，在2021年发表预览版，主打用AI帮忙写程式，并在2022年6月正式推出。

到了2023年2月GitHub更是公布多项新进展，不只是加速开发人员撰写程式，最特别的一点，新加入了基於AI的漏洞预防系统（Vulnerability prevention system），可利用LLM来达到静态分析工具的行为，其作用在於，可及时阻挡不安全程式码的写法，包括帐号密码写死（hardcoded credentials）、SQL注入与路径注入等。GitHub认为，这种作法将在解决漏洞问题上，带来相当大的价值，可以改变开发人员处理漏洞的方法。

原因在於，传统的漏洞分析工具，是在Build或发布前才使用，而GitHub Copilot则会在开发阶段，於编辑器执行漏洞侦测。我们可以看到，这样的概念，显然与资安界近年常提到的Shift Left安全方法，有相同的涵意，可以更从源头帮助开发者写出更安全的程式码，这应该也是GitHub将此视为重大改变的原因。

 相关报导