摄影/罗正汉
如何善用生成式Ai帮助资安防御,是所有企业、资安厂商与资服业者,都在努力发展的重要课题,过去已有国内外业者分享这方面的实务经验,例如奥义智慧、趋势科技、Google等,近期AWS于美国费城举办年度资安会议re:Inforce 2025,该公司也揭露其内部实际应用生成式AI协助资安工作的实际经验。
今年大会有多位AWS高层主管说明应用成果与观察,我们整理出5大类型,涵盖:程式码修补自动化、自动化API安全测试、云端回应团队分析与应变加速,以及MadPot产品分析与诱捕能力的强化,甚至还有威胁建模的应用,让大家了解更多应用实例。
应用1:程式码修补自动化,生成式AI加速资安左移
如何用生成式AI来帮助资安工作?AWS应用科学经理George Argyro在re:Inforce 2025公布AWS有两项重要进展。
首先,是程式码修补自动化。George Argyros表示,早前AWS利用自家Amazon Q Developer的程式码转换能力,成功将公司内部所有Java应用系统从Java 11升级到Java 18。后续,他们也运用类似的流程,进一步解决开发过程所面对的资安问题。
他解释,AWS是以内部版本的Amazon Q Developer进行资安最佳实践,协助工程师更快速解决个别的问题,同时也确保开发团队持续采用安全的程式库与设计模式,进而提升系统的资安水准。George Argyros指出,这代表AWS已将资安融入日常开发流程,而不是等到开发完成后才处理资安问题,进而实践「资安左移(Shift Security Left)」的概念。
例如,当开发人员提交Pull Request时,系统会自动进行资安检查,若发现风险,就会自动产生程式码审查建议与修补方案。其运作方式有两种,一种是在程式码提交请求期间识别到资安问题时自动触发,一种是开发者也能使用命令列介面(CLI)手动启动检查。
George Argyros进一步说明,AWS内部系统建立于API基础之上,因此需要进行完整且详细的API安全测试。但在传统作法上,人员需撰写涵盖各种情境的测试案例,这是一项繁重且费时的任务。开发者需要耗费大量时间查阅文件、建立测试上下文并设定参数。想像这样的流程需重复上百次或上千次,效率相当低。
为此,AWS引入了代理式工作流程,这套系统能自动读取API文件与结构资讯,建立对应的测试案例,并不断优化直到成功执行。LLM 甚至能辨识测试所需的外部资源,大幅加快整个测试周期。