來自FB的Python語言安全與隱私檢查工具Pysa

來自FB的Python語言安全與隱私檢查工具Pysa
來自FB的Python語言安全與隱私檢查工具Pysa

臉書開發的Python語言檢查工具Pysa好用嗎?是怎麼做的呢?往下看看就知道~

▲ Pysa 檢測 Python 程式碼中安全漏洞的官方說明影片

 

Facebook 近日開源了一個用於檢測 Python 程式碼中安全漏洞的自動化工具「Pysa」。該工具最初是用來保護旗下的 Instagram。

Pysa 為「Python Static Analyzer」的縮寫,是 Python 靜態分析工具的意思,與另一套同名的勒索軟件 Pysa 毫無關係──希望讀者別把這兩者混為一談。

Pysa 專門用於追蹤大規模的 「Python 代碼庫──如驅動 Instagram 的 Python 程式碼──中的潛在安全漏洞。

這套工具會在代碼運行 / 編譯之前,以靜態模式掃描程式碼,著眼於數據流經系統的方式,查找潛在已知的錯誤模式、然後幫助開發者標註出潛在的問題:

安全漏洞

Facebook 資安工程師 Graham Bleaney 和 Sinan Cepel 寫道:「分析數據流是非常管用的,因為許多安全和隱私問題,都可被建模為數據而流入不該進入的地方。」

舉例來說,遠端代碼執行的漏洞,會被視為一般的用戶輸入,而到達系統程式碼內未經授權的部分。

Facebook 表示:在 2020 年的前半年,Pysa 就偵測到有 44% 的安全漏洞,是藏在 Instagram 伺服器端的 Python 代碼中。

Pysa 是基於開源代碼 Pyre 項目而建立的。Pyre 項目本是用來提高 Python 程式碼的品質的自動化工具,經過特別修改以協助發現安全漏洞。

去年,Facebook 就有推出了一個類似的工具 Zoncolan,該工具是用於 Hack 語言 (一種類 PHP 語言,用於 Facebook 應用程序的主要代碼庫) 中尋找安全漏洞。

無論是 Pysa 還是 Zoncolan,掃描程式均會尋找潛在危險的資料型態。這些資料型態可能會利用漏洞以允許跨網站指令碼攻擊 (XSS)、遠端程式碼攻擊、SQL 注入或用戶資料外洩等。當掃描到這些有害的數據後,即會通知程式開發人員。

及時檢查

「就像 Zoncolan 用於 Facebook 的 Hack;Pysa 幫助我們擴展了 Python 的應用程式安全性,尤其是那驅動 Instagram 伺服器的代碼庫。」Facebook 資安工程師 Bleaney 和 Cepel 寫道。

「這些結果將直接傳送給程式開發人員或是轉到資安工程師,取決於檢測到的問題類型以及我們針對該問題的信噪比 (S/N Ratio)。」

Facebook 表示,它讓 Pysa 開源,以讓更多開發者用來檢查自己的 Python 程式碼。

開源

Bleaney 和 Cepel 表示: 「因為我們在自家產品上使用開源 Python 伺服器端框架,如 Django 以及 Tornado。Pysa 可以從一開始就找出應用這些框架的項目的安全性問題。」

他們補充說:將 Pysa 用於尚不支持的框架可以很簡單,只需添加幾行配置,即可告訴 Pysa 數據進入伺服器的位置。

Facebook 已在 GitHub 上正式發布了 Pysa 的開源代碼,以及一些能協助它追踪安全問題的 bug definitions。

 

 

更多Python相關文章請點閱下方連結~

 

 

 

其他閱讀

人工智慧貓砂盆 – 因愛貓腎病過世 工程師研發預防性貓用醫療品

非資工系出身!產品工程師「Python 課程」結業後轉職大醫院的網站工程師

人工智慧結合汽車雷達偵測行車視線死角 「駕駛盲區」即將走入歷史?

Python 教學 – 控制結構篇 – while 迴圈

人工智慧也出包?(1)女星照片配置錯誤超烏龍!!

AI人工智慧命名大走鐘:貓咪名字篇

AI人工智慧命名各種傻眼:甜點篇

捷克新創公司兩產品讓你免受騙於AI人工智慧!!(下)

捷克新創公司兩產品讓你免受騙於AI人工智慧!!(下)
捷克新創公司兩產品讓你免受騙於AI人工智慧!!(下)

AI人工智慧在金融方面的應用越來越多~要如何安全使用呢?讓捷克新創公司新產品告訴你!!(下)

本篇為上篇,下篇請點此捷克新創公司兩產品讓你免受騙於AI人工智慧!!(上)

捷克 AI 新創成金融駭客剋星 助企業找出資安新解方

有鑑於此,捷克一家新創公司「Resistant AI」開發一套機器學習技術,專門抵擋對抗式機器學習、竄改樣本、目標性操弄等等攻擊。

Resistant AI 目前主要提供兩項產品:

1. 文檔防禦(Resistant Documents)

駭客會偽造或更換銀行對帳單、購買收據、薪資單或 KYC 文件(Know Your Customer)的名稱等等「良性文件」,欺騙 AI 所驅動的認證系統、逃過檢測,藉此成功開啟銀行帳戶,或是讓自動處理系統批准借貸。

而「文檔防禦」是讓機器學習系統拒絕自動處理過程中遭遇的可疑文檔,並標記出所有惡意或可疑的來源。

2. 交易防禦(Resistant Transactions)

深度學習系統的測試,經典方法是收集大量人工標註好的數據,來評估系統的準確性。然而很難輸入未來所有可能發生的數據,也就無法得知系統的每個反應是否符合邏輯。並且只要將輸入的數據添加微小干擾,就可以欺騙深度學習系統,讓系統「核准」惡意數據。

「交易防禦」就是用 AI 偵測可疑的交易行為,例如當有付款、轉帳或是申請信貸等請求時,交易防禦系統就會進行統計性的檢查,若確實辨認出有問題的請求,就會阻止交易,保護系統模組內資訊不被偷取,也能防止系統受到誘導而做出錯誤的決定。

Resistant AI 的創辦人兼 CEO Martin Rehak 在資訊安全領域工作超過 12 年,他表示:駭客對於 AI 系統漏洞的破解技術已經越來成熟,這也讓啟發他跟他的團隊創立現在的 Resistant AI 來提供解決方案。公司當前的目標客戶是金融企業、金融科技新創,與在金融交易過程中採用AI的公司。

Resistant AI 於 4 月底進行種子輪融資,獲風險投資公司 Index Ventures 及 Credo Venture 領投,成功籌集 275 萬美元資金。

「以AI之矛,攻AI之盾」

AI 人工智慧的發展固然大幅提高人們的生活品質,但同時也要認識到科技的兩面性,科技僅僅是工具,水能載舟、亦能覆舟,若遭到有心人惡意利用也會產生負面影響。正如 AI 可以被用於詐騙,也可以被用於反詐騙,利用技術的方式不同,帶來的影響也不同。

因此,在面對一項科技時,除了理解、學習、使用之外,更要進一步超越它——努力成為卓越 AI 的創造者,才能不被 AI 所掌控。

推薦閱讀:AI 產業革命開始!為何 Python 成人工智慧必備語言?

 

 

更多AI人工智慧的文章請點閱下方連結!!

 

 

 

其他閱讀

AI 產業革命開始!為何 Python 成人工智慧必備語言?

IBM 都推!入行 AI 人工智慧必學 Python 8大理由

AI 重機車手 MOTOBOT – 專為超越 MotoGP 冠軍 Rossi 而生

AI人工智慧將如何衝擊你的未來?還是學好Python!

給自學Python的初學者24項真心建議!!

只要四階段~讓零基礎的你離Python邁進一大步!!

還不了解Python如何應用嗎?三大要點你非知不可!!

捷克新創公司兩產品讓你免受騙於AI人工智慧!!(上)

捷克新創公司兩產品讓你免受騙於AI人工智慧!!(上)
捷克新創公司兩產品讓你免受騙於AI人工智慧!!(上)

AI人工智慧在金融方面的應用越來越多~要如何安全使用呢?讓捷克新創公司新產品告訴你!!(上)

▲ Fintech 金融科技市場中的 AI 人工智慧品牌(圖片來源:cbinsights,如有侵權請告知)
 

隨著科技浪潮來襲,金融產業也積極佈局,除了如區塊鏈、虛擬貨幣和 P2P 等新型交易模式愈發興盛外,傳統銀行的許多交易手續、分析工作也都交由人工智慧運籌帷幄。

但,導入 AI 不僅影響金融機構本身,虎視眈眈的駭客也馬上跟進,開發出特別針對人工智慧的攻擊手法。

而一家捷克新創公司 Resistant AI 找到了解決辦法──用 AI 反擊欺騙 AI 的網攻!

金融業 AI 應用夯 8 成以上交易由程式自動執行

金融業是幾個快速導入 AI 的產業之一,並且因長期的監理要求,金融業的數據資料保存完整有序,AI 導入較為容易;一方面也是為了因應快速成長的數位通路需求。

玉山銀行科技長陳昇瑋表示,目前全球股市觀察,已經約有 8 至 9 成的交易都是程式執行的,而全球十大對沖基金中,有 6 個已導入 AI 協助交易,代表人工智慧 已在證券交易占有一定的份量。除了證券交易,AI 也被用在產業分析,用來預測股價。

推薦閱讀:痛失英才!台灣人工智慧學校執行長陳昇瑋辭世

但是,駭客也與時俱進,瞄準 AI 和機器學習的弱點,展開新型態的網路攻擊,導致金融組織或企業面臨巨額損失、機密資料或客戶資料外洩的風險。

駭客故意餵錯誤資料 誤導 AI 並非難事

AI 固然好用,但也不是萬靈丹,並且很可能變成攻擊目標。駭客若部署對抗式機器學習(Adversarial Machine Learning)找出機器學習模型的弱點,在訓練資料中參雜惡意樣本與駭入後台干擾參數,就能有迅速破壞 AI 運作。

推薦閱讀:美國將 AI 納入軍用!到底人工智慧會成為人類救星還是殺人機器?

趨勢科技全球安全研究副總 William Malik 也曾談過:「其實演算法是很粹弱的,很容易因為訓練資料被動手腳,導致要辨識動物的影像 AI 將長頸鹿辨識為單車。」因為 AI 不像人類,不是看整體而是「盯著」細節的部分,這些重要的細節被更動,AI 就會出狀況。

假若不幸遭到入侵,訓練資料被惡意加料,辨識模式被蓄意誤導,然後最後演算法在市面上佈署,就算是資安公司也可能會中招,讓 AI 反而成為欺騙防毒軟體的利刃。

 

 

本篇為上篇,下篇請點此捷克新創公司兩產品讓你免受騙於AI人工智慧!!(下)

更多AI人工智慧的文章請點閱下方連結!!

 

 

 

其他閱讀

AI 產業革命開始!為何 Python 成人工智慧必備語言?

IBM 都推!入行 AI 人工智慧必學 Python 8大理由

AI 重機車手 MOTOBOT – 專為超越 MotoGP 冠軍 Rossi 而生

AI人工智慧將如何衝擊你的未來?還是學好Python!

給自學Python的初學者24項真心建議!!

只要四階段~讓零基礎的你離Python邁進一大步!!

還不了解Python如何應用嗎?三大要點你非知不可!!