人工智能(AI)技术在如今的社会中发挥着越来越重要的作用，涵盖了从自动驾驶汽车到医疗诊断的各个领域。神经网络算法作为其中的核心技术之一，被广泛应用于图像识别、自然语言处理、智能推荐等领域。然而，正是因为其复杂性和高度非线性的特点，神经网络算法本身也存在着一些安全漏洞问题，这些安全问题可能导致数据泄露、隐私侵犯、系统瘫痪等严重后果，对个人、组织甚至整个社会都构成潜在威胁。首先，对抗性攻击是神经网络算法面临的一个主要安全问题。对抗性攻击是指故意设计具有微小扰动的输入数据，以使神经网络产生错误的输出。这种攻击可能导致图像分类错误、语音识别失效等严重后果。神经网络算法对输入数据的微小变化非常敏感，这使得它们容易受到对抗性攻击的影响。为了增强神经网络算法的鲁棒性，研究人员提出了对抗性训练、对抗性样本生成等技术，以使神经网络能够更好地抵御对抗性攻击。其次，隐私问题也是神经网络算法面临的重要安全漏洞。在训练和部署神经网络模型时，通常需要大量的数据，其中可能包含个人身份信息、健康记录等敏感数据。如果这些数据未经妥善保护，可能会导致用户隐私泄露、身份盗窃等问题。第三个安全漏洞问题是模型解释性。许多神经网络模型被认为是黑盒模型，难以解释其决策过程。这种缺乏解释性不仅使用户难以理解模型的工作原理，也可能导致模型做出不可预测的决策。为了提高神经网络模型的解释性，研究人员提出了局部解释性模型、特征重要性分析等技术，以帮助用户理解模型的决策过程，并确保模型的决策符合逻辑和规范。另一个重要的安全漏洞问题是过拟合。神经网络算法在训练过程中可能会过度拟合训练数据，导致模型在未见数据上的泛化能力下降。这可能导致模型在实际应用中表现不稳定，产生错误的预测结果。为了解决过拟合问题，研究人员提出了正则化、数据增强等方法，以提高神经网络模型的泛化能力，使其能够更好地适应新的数据。最后，神经网络算法还可能受到恶意操纵的影响。恶意攻击者可能通过有意修改训练数据或操纵模型输出来达到其目的，例如欺诈、信息篡改等。这种行为可能对金融、电子商务等领域造成严重影响。为了防止恶意操纵，研究人员提出了模型鲁棒性验证、安全增强学习等方法，以确保神经网络模型的安全性和可靠性。人工智能技术的迅猛发展和广泛应用正在深刻地改变着各行各业，但同时人工智能模型存在的安全隐患也为数字产业带来了安全方面的挑战。为了应对这些挑战，中科天齐通过对神经网络鲁棒性边界检测、神经网络形式化分析及神经网络鲁棒性度量评估三个方面进行研究，即将推出人工智能模型(神经网络算法)安全性测试评估系统——“智信”，通过建立相应的测试和评估机制，对模型的性能、鲁棒性和安全性进行全面检验，提高人工智能模型的准确性与稳定性。中科天齐人工智能模型(神经网络算法)安全性测试评估系统“智信”可分为三大测试工具，其中包括3大工作模块及多个步骤，通过不同模块之间协同工作，人工智能模型(神经网络算法)测试能够更加全面地评估算法的性能、鲁棒性和可靠性，为神经网络的进一步优化和改进提供有力支持。通过提高人工智能模型(神经网络算法)安全性，我们可以更好地应对人工智能模型的漏洞问题，推动人工智能技术朝着更加安全、透明和可持续的方向发展。 让人工智能技术更加安全、可靠地促进数字产业发展是我们共同的愿景，欢迎持续关注中科天齐人工智能模型(神经网络算法)安全性测试评估系统。

从传统的软件开发到集成人工智能(AI)和机器学习(ML)的演变可以说是革命性的。随着人工智能的不断普及，人工智能技术对企业乃至我们的日常生活变得越来越重要，根据ISC2的研究，人工智能最有可能接管用户行为模式的分析(81%)、重复性任务的自动化(75%)、网络流量和恶意软件的监控(71%)、薄弱环节的预测(62%)以及检测和阻止威胁(62%)。随着人工智能的广泛使用，其带来安全问题的复杂性、真实性和数量可能会大幅度提高。一个令人担忧的趋势是，网络攻击者以代码和图像存储库为目标，旨在向软件供应链注入恶意软件。这种策略不仅损害了软件的完整性，而且对依赖这些应用程序进行关键操作的最终用户和组织构成了重大风险。数据中毒的威胁对人工智能模型的完整性提出了险恶的挑战。通过将恶意修改的代码和数据引入训练集，攻击者可以操纵人工智能系统的行为，导致长期影响，因为有毒数据持续存在于机器学习模型中。这种阴险的攻击形式凸显了保持警惕和强大的安全措施在保护推动人工智能和机器学习创新的数据方面的重要性。在开发安全中，通过DevSecOps实践更有力的创建安全软件。这些方法是解决人工智能和机器学习安全所面临的熟悉挑战的宝贵经验。在过去五年多的时间里，DevSecOps 已成为我们开发和保护软件的主要方式，通过软件和安全团队之间的协作，以及将改进的安全实践嵌入到开发过程的每个阶段。这种集成方法帮助我们提高了软件产品的安全性，并提高了安全和软件工程师之间的安全可见性。DevSecOps 的原则和成功案例同样可以指导 AI 和 ML 模型的安全开发和部署。AI和ML模型不断学习和进化，AISecOps将DevSecOps原则应用于AI/ML和生成式AI，意味着将安全性集成到这些模型的生命周期中——从设计、培训到部署和监控。持续的安全实践，如实时漏洞扫描和自动威胁检测、数据和模型存储库的安全检测和保护措施，对于防范不断发展的威胁至关重要。DevSecOps的核心原则之一是培养开发、安全和运营团队之间的协作文化。这种多学科方法在AISecOps的背景下更为重要，因为开发人员、数据科学家、人工智能研究人员和网络安全专业人员需要共同努力识别和减轻风险。协作和开放的沟通可以加速漏洞的识别和修复。数据是 AI 和 ML 模型的命脉。确保用于训练和推理的数据的完整性和机密性至关重要。DevSecOps 强调了安全数据处理实践(如加密、访问控制和匿名化技术)对于保护敏感信息和防止数据中毒攻击的重要性。在AI和ML开发一开始就将安全考虑进去，符合对道德人工智能的日益重视，确保模型不仅安全，而且公平、透明和负责任。在设计阶段纳入安全和道德准则有助于在人工智能系统中建立信任和弹性。人工智能和机器学习技术带来的安全挑战很复杂，但对我们来说并不陌生。通过将DevSecOps的安全经验应用到AISecOps中，我们可以通过提高人工智能和人工智能数据安全可见性的方法来应对这些挑战，并强调持续安全、协作、安全数据实践和设计安全性。 我们的未来是人工智能驱动的，网络安全和人工智能专业人员需要齐心协力，为这些变革性技术奠定基础。我们要释放人工智能和机器学习的全部潜力，同时确保所有利益相关者的安全、隐私和信任。

静态代码安全测试工具主要应用在软件开发阶段，用来检测源代码中是否存在安全缺陷或编码规范问题等，主要应用在以下几个方面：代码质量控制： 静态代码检测工具可以帮助开发团队在编码过程中发现潜在的代码质量问题，如代码规范性、安全漏洞、性能问题等，提高整体代码质量。安全漏洞检测： 静态代码检测工具能够检测代码中的安全漏洞，如可能导致 SQL 注入、跨站脚本攻击等问题，帮助开发团队及时修复潜在的安全风险。规范性检查： 静态代码检测工具能够根据事先设定的编码规范或最佳实践，检查代码是否符合规范，有助于保持团队的统一代码风格，提高代码的可读性和可维护性。国产静态代码安全测试工具WuKong是一款可适配国产环境的静态代码安全测试工具，拥有自主研发技术，结合深度学习和机器学习等方法，大大提高测试准确率，通过深度分析方法分析指针别名关系发掘更多深层次安全漏洞。工具采用B/S架构，界面友好易于理解和操作，支持检测多种语言代码，支持C、C++、JAVA、Python、PHP、JavaScript、HTML、JSP、XML、C#等主流开发语言。支持以多种上传方式进行检测，如zip压缩包上传，SVN/GIT形式拉取代码检测，以TFS、共享目录、FTP形式直接访问代码等。在安全漏洞及缺陷等问题上，不但可以检测缓冲区溢出、中断的数据竞争和死锁等并发错误及内存泄漏等错误在内的运行时缺陷，也可以检测SQL、XSS跨站脚本、弱密码等安全漏洞，支持跨文件跨函数的线程间共享变量数据竞争问题的检测。工具支持的检测标准包括国家标准GB/T34943、GB/T34944、国军标规范 GJB5369、8114和行业标准SJ/T 11682-2017、SJ/T 11683-2017等的检测;国际标准OWASP Top 10、CWE Top 25、Cert C、ISO17961、MISRA C2012等。工具支持国产化环境，如龙芯、鲲鹏、飞腾、申威、统信和海光等。可进行灵活自定义规则，可集成在开发流程中。对于检测结果，可以进行人工复核并进行标注，可导出不同格式的检测报告，并且可自定义检测报告内容。 静态代码安全测试工具适用领域广泛，如政府机关、金融科技、科研院所、软件研发等企业单位。当前，软件供应链安全问题突出，在开发流程中集成静态代码测试工具不但可以降低软件中的安全隐患，还能提高代码规范性和安全性，便于后期维护。

随着人工智能的应用和发展，人工智能在安全测试中发挥着巨大作用，例如自动化测试、智能漏洞检测、挖掘深度漏洞等，而且在软件开发中也得到很好的应用。然而，人工智能模型同样面临着诸如对抗性攻击(如对抗样本、对抗性操作)、隐私泄露、数据偏见、模型解释性不足、未经授权的访问和篡改、以及恶意使用等安全性问题。中科天齐针对人工智能模型安全性问题进行深入研究，近期成功获得人工智能模型安全性测试系统软件著作，这也意味着，在软件安全领域中科天齐不断对技术和产品进行更新迭代，同当前关键技术保持协同创新发展。中科天齐已有的产品软件源代码安全缺陷检测平台(WuKong)在政府、金融、科技、软件研发、工业互联网等多个行业领域得到很好的应用。WuKong为一款国产化自主研发工具，拥有多项专利软著，并具有很好的国产化适配能力，兼容麒麟、鲲鹏等多种国产化环境。WuKong采用自主专利技术的程序分析引擎，多种创新性的静态分析技术，结合深度学习和人工智能等多种方法，能够对软件代码缺陷进行全方位的安全扫描和安全分析。可检测运行时缺陷、安全漏洞及编码标准规范，可应用于软件生命周期的各个阶段，包括：开发人员编码阶段、代码集成阶段、系统发布阶段和系统上线之后。支持C、C++、C#、JAVA、Python、PHP、JSP、JavaScript、HTML、Go、XML 等主流程序开发语言。支持国家推荐标准 GB/T 34943、 GB/T 34944、GB/T 34946、国军标 GJB 8114-2013、5369，行业标准 SJT 11682、SJT 11683，国际规范CWE Top25、OWASP Top10等，可根据需求进行定制化处理。 可直接整合到客户的开发流程中，与客户的代码管理仓库，缺陷管理系统进行对接，在不增加研发成本的前提下帮助开发人员降低交付不安全代码的风险。

API 在当今的数字生态系统中无处不在，连接着不同的系统、应用程序和数据。它们实现无缝集成和数据交换的能力彻底改变了企业的运营方式。从启用移动应用程序功能到促进云服务和物联网部署，API 在创建互联、敏捷和响应迅速的业务环境方面发挥着重要作用。随着组织内 API 数量的增加，管理它们的复杂性也在增加。每个 API 都可能成为网络攻击者的潜在切入点，在这种情况下，了解 API 的使用及其对业务和安全的影响不仅仅是一项技术要求，也是一项战略性业务需求。OWASP API 安全TOP 10 (2023 版)2023 年发布的 OWASP API 安全Top 10 名单是识别和减轻 API 紧迫安全风险的关键参考。对象级别授权失效：此风险涉及如何控制用户对对象的访问的问题，可能导致未经授权的数据泄露或更改。身份验证失效：不正确实施的身份验证机制可能允许攻击者破坏令牌或利用缺陷来冒充其他用户的身份。对象属性级别授权失效：此类别突出显示对象属性级别缺少授权或验证不当，这可能导致未经授权的信息泄露或操纵。不受限制的资源消耗：这里的重点是满足 API 请求所需的资源。管理不善的资源分配可能导致拒绝服务或增加运营成本。功能级别授权中断：这涉及访问控制策略中的缺陷，可能允许攻击者访问其他用户的资源或管理功能。不受限制地访问敏感业务流：此风险指向通过 API 暴露业务流程，如果滥用，可能会在运营或财务上损害业务。服务器端请求伪造 (SSRF)：当 API 在未正确验证用户提供的 URI 的情况下提取远程资源时，会发生此缺陷，这可能会导致意外和有害的请求。安全配置错误：这包括 API 和支持系统中的各种潜在错误配置，这些错误配置可能会为各种类型的攻击打开大门。存量资产管理不当：API 的正确文档和库存至关重要，因为它们暴露了大量的端点。管理不当可能会导致被利用已弃用的 API 版本等问题。不安全地使用 API：此风险解决了在没有足够安全措施的情况下信任来自第三方 API 的数据的趋势，使这些集成服务成为攻击者的目标。API 漏洞对业务的影响OWASP API 安全Top 10中发现的漏洞不仅对企业的技术完整性构成风险，还对其运营、财务和声誉方面构成威胁。这些漏洞对业务的影响是多方面的，包括：直接经济损失业务中断损害客户信任和数据隐私声誉受损合规和监管风险增加知识产权盗窃API 已成为网络犯罪分子的首要目标之一，Salt Security 最近的一项调查显示，94%的企业在去年的生产api中遇到了安全问题。实施 OWASP 准则实践考虑到API的关键作用和威胁的演变性质，采用最佳实践来减轻OWASP API安全前10名中确定的漏洞至关重要：定期进行安全审计和评估，以监控和评估 API 的漏洞。强大的身份验证和授权控制，以确保在每个级别(包括对象和功能级别)进行正确访问。资源和速率限制，以防止滥用和缓解拒绝服务攻击。持续监控和记录，以及时检测和响应安全事件。对开发人员进行API安全最佳实践方面的教育和培训。API 清单管理，用于识别和停用过时或不必要的 API。API 安全网关和管理工具，用于提供额外的安全层，例如加密、威胁检测和策略实施。第三方 API 安全评估，以确保遵守安全标准并识别漏洞。

中科天齐的静态代码安全测试工具WuKong(悟空)获得了国际权威机构的专业认可，顺利通过CWE国际兼容性认证。加上此前获得国内的CNNVD(国家信息安全漏洞库)兼容认证，WuKong工具已成为国内国际双认证的领先产品。CWE(Common Weakness Enumeration，通用缺陷枚举)，由美国国土安全局下的US-CERT(美国计算机应急管理中心)资助，在全世界极具知名度和权威性的软件安全漏洞模式库。目前，CWE已经成为安全工具的衡量标准，同时也是缺陷识别、缓解和预防工作的基准。世界知名安全软件产品在此组织进行认证，以表明该工具能够支持CWE所描述的主要缺陷模式的检测和分析。同时，“CWE兼容”也作为产品的重要等级标志被用户和管理人员所认可。中科天齐的WuKong(悟空)作为一款国产信创静态代码分析工具，采用自主专利技术的程序分析引擎，多种创新性的静态分析技术，结合深度学习和人工智能等多种方法，准确发掘深层次安全漏洞，通过先进的程序切片技术提高测试效率，结合分布式系统运行时日志信息指导安全测试，有效检测到云计算分布式系统中大量未知错误。WuKong(悟空)支持多种开发语言的安全缺陷检测，兼容麒麟、鲲鹏等多种国产化环境，帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。 此次通过CWE兼容认证，是WuKong(悟空)静态代码安全测试工具在能力、有效性等各方面获得的一次有力证明。未来，WuKong将继续发挥其专业、高效的问题解决能力，为各领域的用户提供更灵活、优质、完整的网络安全解决方案。

北京中科天齐信息技术有限公司在经过企业申报、提交申报材料、专家评审、认定报备、公示公告等一系列程序的严格审核后，荣获“国家高新技术企业”和“中关村高新技术企业”认定，实现了双高新认定。国家高新技术企业高新技术企业是发展高新技术产业的重要基础，是调整产业结构、提高国家竞争力的生力军，在我国经济发展中占有十分重要的战略地位，一直受到各级政府的高度重视、鼓励和支持。按照规定，只有当企业研发投入占比、高新技术产品收入占比、科技人员数量、技术创新能力等核心指标满足一定条件才能获此认定。中关村高新技术企业"中关村高新技术企业"由北京中关村科技园区管理委员会审核，通过一系列严格的要求，包括企业资质、科技研发能力、技术创新能力、企业发展情况以及填报资料真实性等方面的考察，最终确定是否可以获得资质认定，是国家为支持高新企业发展，提高国家综合经济竞争力而设立。本次中科天齐获得双高新技术企业的认定，是国家对企业在科技创新上的认可和支持，同时也标志着中科天齐正式迈入高新技术企业行列。中科天齐将继续以技术为核心，以市场发展为导向，积极提升企业核心竞争力、创造力和生命力。同时更加注重知识产权、培养优秀技术人才队伍，加强科技成果转化应用能力，助推公司高质量发展，助力网络安全建设。WuKong静态代码安全测试工具 “Wukong”作为一款静态代码安全测试工具，支持多种开发语言的安全缺陷检测，兼容多种国产化环境，帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。

随着“安全左移”，代码质量和安全已成为组织关注的重点，通过代码安全检测工具可以在CD/CD中自动化检测代码问题，从而便于开发人员尽早修复缺陷并且避免将代码缺陷进入生产环境。代码安全检测工具原理C语言源代码安全检测工具是一种静态代码分析工具，通过对源代码进行扫描和解析，检测其中的潜在安全问题。其原理可以简述为以下几点：语法分析：工具会解析源代码，构建语法树，并检查代码是否符合C语言的语法规范。漏洞检测：工具会对源代码进行静态分析，寻找常见的漏洞类型，如缓冲区溢出、空指针解引用等，以及特定安全规则的违反情况。数据流分析：工具会跟踪代码中的数据流，分析变量的定义和使用，检测内存泄漏、未初始化变量等问题。标识符命名检查：工具会检查命名规范，避免使用含糊不清、易混淆的标识符，增加代码的可读性和维护性。代码安全检测工具有哪些特点自动化检测：可以对大规模的源代码进行扫描和检测，大大提高开发效率。静态分析：通过对源代码进行静态分析，不需要真正运行代码，可以发现潜在的安全问题。多种漏洞检测：工具能够检测多种常见的漏洞类型，包括缓冲区溢出、格式化字符串攻击、代码注入等，提高代码的安全性。定制化规则：工具支持自定义规则，根据项目的需求制定特定的安全规则，提高检测的准确性和针对性。使用源代码安全检测工具有以下的优势：提高代码的安全性：通过检测漏洞和潜在的安全缺陷，可以及时进行修复，提高代码的安全性，优势主要体现在以下几个方面：减少安全漏洞被利用的风险：通过使用C源代码安全检测工具，可以及时发现和修复潜在的安全漏洞，减少攻击者利用漏洞进行恶意攻击的风险。提高代码的质量和可维护性：通过检测代码中的命名规范、注释使用情况等，C源代码安全检测工具可以帮助开发团队遵循统一的编码规范，从而提高代码的可读性、可维护性和可扩展性。自动化检测和分析：C源代码安全检测工具能够对大规模的代码进行自动化的检测和分析，节省了开发人员手动检查代码的时间和精力。同时，通过工具提供的报告，开发人员可以快速定位和修复代码中的问题。提高开发效率：C语言源代码安全检测工具可以自动扫描代码并发现潜在问题，减少了开发过程中的问题排查和修复的时间。这有助于提高开发团队的工作效率，并加快项目的交付进度。 多平台支持：C语言源代码安全检测工具通常支持多种操作系统和开发环境，如Windows、Linux等，国产化源代码安全检测工具还支持国产化操作系统麒麟、统信等，并支持常见的集成开发环境(IDE)，如Visual Studio、Eclipse等，便于开发人员在不同环境下流畅使用该工具。

应用程序安全测试(AST)是为了发现和修复潜在安全问题而采取的一系列工具、流程和方法的综合。AST可以帮助开发人员和安全团队识别和解决应用程序中的安全漏洞和缺陷。其中静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)是常用的安全测试方法，这两种测试分别在软件开发生命周期的不同阶段使用，并且所遵循的扫描方式也不同。静态应用程序安全测试(SAST)是一种在应用程序开发阶段或源代码阶段进行的安全测试方法。由于测试方法在软件开发生命周期的早期阶段就已实施，它通过分析源代码或编译后的代码来检查应用程序中的安全漏洞。SAST工具可以检查代码中的常见安全问题，譬如注入攻击、跨站点脚本(XSS)漏洞、敏感数据泄露等。SAST可提供静态代码分析报告，指出潜在的安全漏洞，并且静态应用程序安全测试工具支持基于 DevSecOps 的左移方法来管理安全性。静态应用安全测试的优点包括：早期漏洞检测：静态代码分析在开发过程开始时执行，测试有助于在编译应用程序代码之前检测应用程序代码中的错误。通过确保安全漏洞不会进入生产环境，SAST 工具有助于实施对安全漏洞的主动保护和缓解。实时反馈：SAST 扫描程序执行快速扫描，并可以在更短的时间内分析应用程序的整个代码库。除了对发现的缺陷提供即时反馈外，SAST 工具还可以与各种开发管道工具无缝集成。准确性：SAST 工具根据预定义的安全规则自动执行安全测试。与手动测试方法相比，这些工具可以更快、更准确地识别关键漏洞。虽然 SAST 有助于安全编码实践，但分析静态代码的好处在范围上是有限的，因为它无法识别运行时漏洞，并且不可避免的存在误报及漏报风险。与 SAST 不同，动态应用程序安全测试(DAST)是一种在应用程序运行时进行的安全测试方法。它通过模拟与应用程序交互的攻击，如发送恶意请求、注入恶意数据等，来评估应用程序的安全性。DAST工具可以检测到与应用程序相关的特定漏洞，包括跨站点脚本(XSS)，跨站请求伪造(CSRF)等。DAST评估集中于应用程序暴露的安全漏洞和可能的攻击路径。由于 DAST 测试是在运行时环境中执行的，因此安全工程师还可以在新漏洞出现和发展时检测和识别这些漏洞。动态应用程序安全测试的优点包括：不受代码语言限制： DAST 测试不需要了解用于开发应用程序的编程语言。无论使用何种框架，DAST 工具都会根据输入和输出评估应用程序的行为。由于 DAST 工具与代码语言无关，因此可强制执行开发和安全团队之间的无缝协作，从而更轻松地进行安全风险管理。误报率较低： DAST 工具对应用程序环境进行端到端扫描，使安全研究人员能够检测和识别威胁应用程序安全性和功能的安全漏洞。不需要访问源代码：由于 DAST 扫描是通过应用程序前端发送恶意负载来执行的，因此企业可以利用第三方安全服务来执行测试，而无需面对应用程序代码。虽然 DAST 工具可以评估应用程序代码中的各种漏洞，但它们无法检测代码库中安全问题的确切位置。DAST 扫描也无法嗅探应用程序堆栈中未执行的部分中的漏洞。 静态应用程序安全测试和动态应用程序安全测试通常结合使用，以提供全面的应用程序安全测试覆盖。静态测试可以帮助发现开发阶段的问题，并提供关于代码安全性的静态分析。动态测试则模拟不同的攻击场景，以测试应用程序在实际运行时的抵御能力。综合使用这两种方法可以更全面地识别潜在的安全问题，并提供指导修复的建议。