维阵公测来袭 | 国内首款AI自动化漏洞挖掘系统

维阵公测来袭 | 国内首款AI自动化漏洞挖掘系统 – 作者:极光无限SZ

公测来袭！

维阵

国内首款

AI自动化漏洞挖掘系统

专注于二进制安全缺陷的快速发现

维护网络空间安全，减少安全漏洞影响

近日，国家发改委首次明确了“新基建”信息基础设施的范围：以5G、人工智能、云计算、区块链等为代表的新技术基础设施，以数据中心、智能计算中心为代表的算力基础设施。国家大力发展新基建，成为企业数字化转型的助推器。

企业数字化转型，安全是基石。软件漏洞是信息安全风险的主要根源之一，是网络攻防对抗中的重要目标。无论从国家层面的网络安全战略，还是社会层面的信息安全防护，安全漏洞已经成为信息对抗双方博弈的核心问题之一。

目前，对于软件漏洞挖掘主要从源代码和二进制程序两个层次展开。其中面向二进制程序的漏洞挖掘，从其现实意义到实现难度都是源代码层无法比拟的。针对发现漏洞的最佳实践方式有源代码审查、模糊测试、基于规则的静态分析、基于规则的动态分析等，这些方法在特定情况下针对特定二进制程序可以产生很好的检测效果，但仍然存在一些很难突破的先天缺陷。

鉴于此，极光无限率先推出维阵 – 基于图神经网络的AI自动化漏洞挖掘系统 ，专注于二进制安全缺陷的快速发现；对二进制文件的程序流图（CFG）进行漏洞挖掘分析，着眼目标文件中的函数、库函数以及各种间接跳转，获得程序的控制流图的节点，结合反汇编出来的代码或者脚本语言，从而识别出可疑的汇编代码序列，进而快速有效地发现未知漏洞的一款自动化漏洞挖掘产品。

通过简单地拖放二进制文件，可以帮助用户快速检索产品中的弱点和漏洞。该系统允许在已编译的二进制文件中搜索漏洞。我们没有寻找一些已知的漏洞，而是训练了一个专用的神经网络来识别导致新漏洞的典型编码错误。把安全问题解决在用户的产品上线之前，使用户的产品轻松避免漏洞。

图神经网络（GNN）将图论与深度学习相结合，突破了神经网络只能作用在欧式数据（Euclidean data）上的限制，把神经网络强大的特征提取能力扩展到非欧数据（non-Euclidean data）上，通过结果反馈和优化输入的生成过程以求产生更优秀更少的测试输入，达到加快挖掘效率，增加挖掘深度的目的。

注：随着AI自我学习的完善，该系统的漏洞检测率将越来越高，漏洞检测时间将越来越短；由于前期模型训练数据集有限，不可避免会存在一些小缺陷，希望参与公测的用户多提意见以及多多包含！

公测时间

6月10日-7月1日

公测地址

https://vul.secwx.com/

公测对象

个人用户（开发者自行开发的软件或开源社区相关应用软件）

公测版：文件限2M以下，3次/月，仅显示两条结果

正式版：文件限10M以下，3次/月，检测结果无限制
企业用户（需具有软件著作版权，且没有版权争议）

公测版：文件限10M以下，10次/月，仅显示两条结果

正式版：文件限50M以下，10次/月，检测结果无限制

注：目前产品功能受限，仅支持X86架构平台，后续将逐渐添加其他平台。