谢朝海：开发安全领域大模型新实践 人工智能助力高效安全左移

2023年11月29日，2023中国（深圳）金融科技大会成功举行，该会议是深圳连续举办的第七届金融科技主题年度会议，也是2023深圳国际金融科技节重要活动之一。做好金融工作，需要兼顾创新与安全，当智能体、大语言模型创新应用成为金融科技的前沿热点，由其衍生出的复杂多元的伦理问题和潜在安全风险该如何化解，也成了会议重点讨论方向之一。

“算法不是算计，无底线则窄；科技要讲伦理，有敬畏才宽。”海云安创始人&董事长谢朝海博士出席本次大会，并在金融科技伦理及治理分论坛上发表主题演讲时强调，数字化技术变革对全行业带来重大机遇与全新挑战，对于金融领域开展科技活动而言，需要重点关注技术开放性带来的安全边界模糊问题，以及业务功利性带来的道德伦理失范问题，以规避网络风险、数据风险和业务风险。

数据&隐私安全是伦理治理和网络安全共同关注点

全行业都需要合法合规开展业务经营，谢朝海关注到的是，其中数据和隐私安全已成为伦理治理和网络安全的共同关注点。“如果算法已经带了算计，科技就无法体现。就很容易诱导出信息不对称、道德风险等金融伦理失范问题，也会带来数据和隐私安全问题。”当前，金融科技伦理监管力度持续加大，在谢朝海看来，行业规范当中要求的守正创新和数据安全是重中之重。

对于数据安全而言，则是全行业合规遵循要点，随着“1+3+N”（“1”是指国家安全法，“3”是指网络安全法、数据安全法、个人信息保护法，“N”是指各领域其他上位法完善法规等）网络安全法律法规体系逐渐完善，全行业都关注到了一个信息，那就是监管执法越来越严格，越来越密集。从单次披露“依据《数据安全法》办理行政案件336起”，到最近工信部发布领域内数据安全行政处罚裁量指引试行征求意见稿，都意味着数据安全和隐私保护的监管执法全持续加强。

安全左移是数据&隐私安全合规之道

数字经济进入发展快车道，其中的数据安全保护工作被定义为数字经济的“生命线”。谢朝海总结了当前阶段数据安全和隐私保护主要面临的六大风险，共包括隐私违规收集、数据安全漏洞、数据处理不当、跨境数据传输、数据共享不当、产品缺乏透明度和公开性。可以看到，以上风险也均为伦理治理和网络安全共同关注要点。

“针对这些挑战和风险，海云安做了实践和思考，提出了‘多标融合、安全左移和右拓运营’应对之道。”据介绍，海云安首先把国内外多地区对于数据和隐私的法律法规，以及相应技术标准规范进行了融合分析，理清了其中的重点监管和规范要求，以便从数据安全管控体系建设角度实现数据和个人信息保护主体责任的落实。最终，以金融科技一侧用例来讲，将实现在具体的金融科技小程序、APP和相关业务系统上进行融合性的以左移的方式实现安全运营。

谢朝海强调，安全左移该理念体系的重中之重，而实现PBD(隐私设计)&代码安全检测是其核心关键。据了解，作为开发安全赛道一员，海云安日前发布了一款名为“「开发者安全助手」”的产品，面向软件开发人员、编程人员提供安全赋能，行业内首创将白盒安全检测、开源组件检测、应用安全合规、安全大模型等多方面安全能力嵌入到开发环境中，从而实现高效能的安全左移。

大模型应用：海云安的代码安全检测新实践

2023年是AI技术大爆发的一年，安全产业都在加大这方面的研发力度，努力探索在安全产品上增加AI大模型用例，其主要集中在安全辅助和智能化检测两大方向。海云安开发者安全助手就是一款AI大模型加持下的安全产品，其可提供智能、高效的代码安全检测分析及修复能力。

据谢朝海介绍，传统的代码安全检测工具有几大难题：误报率高，缺陷成因解释不直观，给开发人员带来困扰，其中修复方案不佳，开发人员需具备较高水平才能修复，或需要安全人员进行协助，工作效率低下。

而融合了AI大模型技术的开发者安全助手具备以下四大特点：

一、AI辅助生成规则——提高测试广度和深度

通过内置AI能力可辅助生成检测规则提升检测覆盖率，全面增强检测、验证、修复效果；

二、AI生成漏洞成因——易于理解根本原因

内置AI能力可根据当前实际代码分析漏洞的形成原因、利用方法和修复方案；

三、AI降低检测误报——开发自主无需安全部门介入

通过融合SAST、SCA等技术进行分析，高效识别代码已有安全防护手段，运用AI大语言模型，极大降低误报率；

四、AI自动修复代码——加快速度和降低难度

可支持AI自动生成修复方案，开发者确认无误后，可点击接受，即完成AI自动修复代码。

也就是说，将AI大语言模型技术融入开发者安全助手当中，将为开发者提供自动生成针对性的缺陷成因解释、自动生成修复代码等功能，在提高代码质量的同时，通过对话的交互，开发者还能够参考大模型生成的代码编写用例，来大幅提高编程效率。对于开发者而言，安全大模型的加入将带来肉眼可见的增益。

谢朝海结合海云安开发者安全助手在银行、券商和基金公司的客户案例延伸指出，代码安全检测技术的国内外普遍的误报率是在40%-50%之间，通过引入AI降低误报率，其准确率可提升到了90%，甚至是95%以上。另外通过AI加持其检测速度也提升了10倍，如规模级的整体检测需1小时才能完成的话，海云安开发者安全助手只需7分钟就可以完成。由于准确率和效率的全面提升，系统运营的压力将得到有效缓解，对于系统的安全性、数据和隐私保护将起到很好的作用。

“甪端20” 勇于创新 持续引领行业高水平发展

此前，在本次大会的主会场上，海云安刚刚获评为“2023年粤港澳大湾区金融科技甪端20企业”。甪端（lù duān）——中国神话传说中的神兽，能够日行一万八千里，通四方语言，且只伴明君。以“甪端”为名，代表着入选企业具备勇于创新、敢为争先的开创精神，甪端企业也被认为是大湾区金融科技产业的未来，将持续引领行业高水平发展。