AI猎手:Capital One开源漏洞检测工具

5 小时前 暂无评论 阅读 8 次
收听本文语音

AI猎手:Capital One开源漏洞检测工具

Capital One于周四发布了VulnHunter,这是一款开源的AI安全智能体工具,能够在代码投入生产环境前扫描源代码中的可利用漏洞,追踪攻击者可能利用的路径,并提出有针对性的修复方案。该工具由Capital One内部开发,现已在GitHub上以Apache 2.0许可证形式开源,是大型金融机构将进攻性AI能力转化为公共防御资源的最雄心勃勃的尝试之一。

在安全团队面临日益增长的AI威胁之际,Capital One的首席信息安全官Chris Nims表示,开源此工具是为了应对”下一代AI攻击能力变得几乎每个对手都能负担得起且可访问之前,日益缩短的时间窗口”。

Capital One并非仅仅发布另一个漏洞扫描工具。VulnHunter引入了公司所谓的”攻击者优先的前向分析”工作流程:工具从真实攻击者可能进入系统的点(如API、网络消息或文件上传)开始,向前推理应用程序的逻辑,确定是否存在可绕过现有防御的攻击路径。传统的扫描工具通常逆向工作,标记出可疑的代码模式,然后向后搜索可能的攻击者。安全从业者普遍认为,这种方法会使工程团队陷入大量误报的困境。

VulnHunter通过第二个创新直接解决了这一问题:内置的”证伪引擎”在开发者看到结果前,会尝试推翻自己的发现。当工具发现潜在漏洞后,结构化的推理流程会寻找逻辑漏洞、未经验证的假设和可能阻止攻击成功的条件。只有引擎无法排除的发现才会提交给人工审核,而一旦提交,VulnHunter不仅提供警报,还会提供完整的攻击路径解释和准备接受工程审查的代码修复方案。

目前该工具在Claude Code环境中运行于Anthropic的Claude Opus 4.8模型上,但Capital One表示,其框架有潜力在其他基础模型和编码工具上运行。

Capital One为何免费分享此工具

当被问及为何决定开源如此重要的工具时,Nims指出问题的共同性本质。

“我们感到必须开源VulnHunter,因为现代软件供应链紧密相连,AI威胁的规模远超任何单一组织,” Nims表示,”保护软件和我们的数字环境是开发者、企业和依赖我们构建的系统的人们共同的基础。应对这一现实的防御工具需要像它们所保护的代码库一样广泛分布、测试和改进。”

“我们不等了,”他补充道,”而是决定打造一个适合当今复杂安全格局的产品,并将其交到各地防御者的手中。”

Capital One为何相信开源VulnHunter能加强所有人的防御能力

此次发布是在公司所熟知的背景下进行的。2019年7月19日,Capital One披露,一名外部人员(后被确认为亚马逊AWS前员工Paige Thompson)未经授权获取了信用卡客户和申请人的姓名、地址、自报收入、社会保障号码和关联银行账号信息。Capital One称此次入侵发生在2019年3月22日至23日,直到当年7月17日一名外部安全研究人员通过公司的负责任披露计划报告了一个配置漏洞后才被发现。

损失是广泛的。约1亿美国人和600万加拿大人受到影响。大约14万个社会保障号码、约8万个关联银行账号和约100万个加拿大社会保险号码被泄露。FBI逮捕了Thompson,政府称相信数据已被找回,没有发现欺诈证据。但声誉和监管损失是巨大的。

2020年8月,货币监理署对Capital One处以8000万美元罚款,认定该银行在将大量技术运营迁移到云的过程中未能充分识别和管理风险。路透社当时报道,货币监理署的同意令指出网络控制不足、数据防丢失措施不力,以及内部审计发现问题后董事会未能对管理层问责。货币监理署还要求Capital One全面改革运营并提交新的网络安全计划供监管审查。

CyberScoop当时称这一事件为”急于拥抱新技术的公司的警示故事”。Capital One首席执行官Richard D. Fairbank也承认了这一时刻的严重性。”虽然我感谢罪犯已被抓获,但我对发生的事情深表歉意,”Fairbank当时表示,”我真诚地向受影响的人道歉,并致力于弥补这一事件。”

Capital One如何通过开源投资重建安全声誉

随后,公司并未退缩技术,而是加倍投入——明确以安全为中心。

Capital One于2014年开始发布开源项目,2015年作为始于十年前的更广泛技术转型的一部分,宣布自己是”开源优先”公司。公司持续投资于软件供应链安全、开源治理和AI驱动的防御。2022年8月,Capital One加入开源安全基金会成为高级会员,获得了该组织董事会的席位。时任云与生产力工程执行副总裁的Chris Nims将此举描述为公司运营哲学的自然延伸。”作为一家受到严格监管的公司,我们擅长管理和合规,并倡导标准化、自动化和协作,”Nims表示。

在那项公开承诺背后,是一个庞大的运营体系。Capital One的开源项目办公室现已进入第三个版本,管理着整个企业的开源使用、贡献和社区建设。作为一家受严格监管的金融机构,Capital One认识到开源和社区协作对于应对日益复杂的网络安全挑战的重要性。通过将VulnHunter等关键安全工具开源,公司不仅提升了自身安全能力,也为整个行业贡献了宝贵的防御资源。

开源社区能够从多个角度测试和验证这些工具,发现潜在的盲点和改进空间,从而共同提高整个行业的防御能力。Capital One相信,只有通过开放共享和集体智慧,才能有效应对不断演变的网络安全威胁。


关注微信号:智享开源 ,及时了解更新信息。


评论列表
发表评论
😀 😂 😃 😄 😅 😆 😉 😊 😋 😎 😍 😘 🥰 😜 😝 🤗 🤔 😭 😤 👍