Python安全隱私的防護罩!因為有”它”讓臉書好放心!

Python安全隱私的防護罩!因為有"它"讓臉書好放心!
Python安全隱私的防護罩!因為有”它”讓臉書好放心!

Python的安全和隱私都幫你顧到了!到底是什麼讓臉書這麼放心?

 

▲ Pysa 檢測 Python 程式碼中安全漏洞的官方說明影片

 

Facebook 最近開源了一個用於檢測 Python 程式碼中安全漏洞的自動化工具「Pysa」。這個工具最初的用途是用來保護旗下的 Instagram。

Pysa 為「Python Static Analyzer」的縮寫,是 Python 靜態分析工具的意思,與另一套同名的勒索軟件 Pysa 毫無關係──希望讀者不要把這兩者混為一談。

Pysa 最主要用於追蹤大規模的 「Python 代碼庫──如驅動 Instagram 的 Python 程式碼──中的潛在安全漏洞。

這套工具會在代碼運行 / 編譯之前,以靜態模式掃描程式碼,著眼於數據流經系統的方式,查找潛在已知的錯誤模式、然後幫助開發者標註出潛在的問題:

安全漏洞

Facebook 資安工程師 Graham Bleaney 和 Sinan Cepel 寫道:「分析數據流可以說是非常管用的,因為許多安全和隱私問題,都可被建模為數據而流入不該進入的地方。」

舉例來說,遠端代碼執行的漏洞,會被視為一般的用戶輸入,而到達系統程式碼內未經授權的部分。

Facebook 表示:在 2020 年的前半年,Pysa 就偵測到有 44% 的安全漏洞,是藏在 Instagram 伺服器端的 Python 代碼中。

Pysa 是基於開源代碼 Pyre 項目而建立的。Pyre 項目本是用來提高 Python 程式碼的品質的自動化工具,都是經過特別修改以協助發現安全漏洞。

去年,Facebook 就有推出了一個類似的工具 Zoncolan,該工具是用於 Hack 語言 (一種類 PHP 語言,用於 Facebook 應用程序的主要代碼庫) 中尋找安全漏洞。

不管是 Pysa 還是 Zoncolan,掃描程式均會尋找潛在危險的資料型態。這些資料型態都有可能會利用漏洞以允許跨網站指令碼攻擊 (XSS)、遠端程式碼攻擊、SQL 注入或用戶資料外洩等。當掃描到這些有害的數據後,即會通知程式開發人員。

及時檢查

「就像 Zoncolan 用於 Facebook 的 Hack;Pysa 幫助我們擴展了 Python 的應用程式安全性,尤其是那驅動 Instagram 伺服器的代碼庫。」Facebook 資安工程師 Bleaney 和 Cepel 寫道。

「這些結果將直接傳送給程式開發人員或是轉到資安工程師,取決於檢測到的問題類型以及我們針對該問題的信噪比 (S/N Ratio)。」

Facebook 表示,它讓 Pysa 開源,以讓更多開發者用來檢查自己的 Python 程式碼。

開源

Bleaney 和 Cepel 表示: 「因為我們在自家產品上使用開源 Python 伺服器端框架,如 Django 以及 Tornado。Pysa 可以從一開始就找出應用這些框架的項目的安全性問題。」

他們補充說:將 Pysa 用於尚不支持的框架可以很簡單,只需添加幾行配置,就可以告訴 Pysa 數據進入伺服器的位置。

Facebook 已在 GitHub 上正式發布了 Pysa 的開源代碼,以及一些能協助它追踪安全問題的 bug definitions。

 

 

 https://www.itech01.com/wp-admin/profile.php

 

推薦文章:
非資工系出身!產品工程師「Python 課程」結業後轉職大醫院的網站工程師


人工智慧結合汽車雷達偵測行車視線死角 「駕駛盲區」即將走入歷史?


人工智慧貓砂盆 – 因愛貓腎病過世 工程師研發預防性貓用醫療品


Python 教學 – 控制結構篇 – while 迴圈


Python&R語言大PK,到底哪個最適合人工智慧?(上)


Python課程如何讓品保人員只花一年就成功轉職程式設計師?


人工智慧創意無極限,傳統甜點被正名為快活興奮劑?!

 

金融駭客剋星誕生!捷克新創AI,揪出欺騙人工智慧詭計!(下)

金融駭客剋星誕生!捷克新創AI,揪出欺騙人工智慧詭計!(下)
金融駭客剋星誕生!捷克新創AI,揪出欺騙人工智慧詭計!(下)

捷克新創的人工智慧輕鬆破解金融駭客的詭計?!到底它是如何辦到的?

 

本篇為下篇,上篇請點此連結

捷克 AI 新創成金融駭客剋星 助企業找出資安新解方

有鑑於此,捷克一家新創公司「Resistant AI」開發一套機器學習技術,專門抵擋對抗機器學習、竄改樣本、目標性操弄等等攻擊。

Resistant AI 目前主要提供兩項產品:

1. 文檔防禦(Resistant Documents)

駭客會偽造或更換銀行對帳單、購買收據、薪資單或 KYC 文件(Know Your Customer)的名稱等等「良性文件」,欺騙 AI 所驅動的認證系統、逃過檢測,藉此成功開啟銀行帳戶,或是讓自動處理系統批准借貸。

而「文檔防禦」是讓機器學習系統拒絕自動處理過程中遭遇的可疑文檔,並同時標記出所有惡意或可疑的來源。

2. 交易防禦(Resistant Transactions)

深度學習系統的測試,經典方法是收集大量人工標註好的數據,藉此來評估系統的準確性。然而很難輸入未來所有可能發生的數據,也就無法得知系統的每個反應是否符合邏輯。並且只要將輸入的數據添加微小干擾,就可以欺騙深度學習系統,讓系統「核准」惡意數據。

「交易防禦」就是用 AI 偵測可疑的交易行為,例如當有付款、轉帳或是申請信貸等請求時,交易防禦系統就會進行統計性的檢查,如果確實辨認出有問題的請求,就會阻止交易,保護系統模組內資訊不被偷取,同時也能防止系統受到誘導而做出錯誤的決定。

Resistant AI 的創辦人兼 CEO Martin Rehak 在資訊安全領域工作已經超過 12 年,他表示:駭客對於 AI 系統漏洞的破解技術已經越來越成熟,這也讓啟發他跟他的團隊創立現在的 Resistant AI 來提供解決方案。公司當前的目標客戶是金融企業、金融科技新創,與在金融交易過程中採用AI的公司。

Resistant AI 於 4 月底進行種子輪融資,獲風險投資公司 Index Ventures 及 Credo Venture 領投,成功籌集 275 萬美元資金。

「以AI之矛,攻AI之盾」

AI 人工智慧的發展固然大幅提高人們的生活品質,但同時也要認識到科技的兩面性,科技僅僅是工具,水能載舟、亦能覆舟,如果遭到有心人惡意利用也會產生負面影響。正如 AI 可以被用於詐騙,也可以被用於反詐騙,利用技術的方式不同,帶來的影響也將截然不同。

因此,在面對一項科技時,除了理解、學習、使用之外,更要進一步超越它——努力成為卓越 AI 人工智慧的創造者,才能不被 AI 所掌控。

推薦閱讀:AI 產業革命開始!為何 Python 成人工智慧必備語言?

 

 

 

推薦文章:
AI 重機車手 MOTOBOT – 專為超越 MotoGP 冠軍 Rossi 而生


連 IBM 都推!入行 AI 人工智慧必學 Python 的8大理由


AI人工智慧將如何衝擊你的未來?還是學好Python吧!


AI 產業革命開始!為何 Python 成人工智慧必備語言?


地球的救星是AI?!保護環境效率竟比人類強!?(上)


極致精準甩尾竟然靠人工智慧?!還有什麼是它辦不到?!(上)


19個語法搞定好,學習Python沒煩惱!

金融駭客剋星誕生!捷克新創AI,揪出欺騙人工智慧詭計!(上)

金融駭客剋星誕生!捷克新創AI,揪出欺騙人工智慧詭計!(上)
金融駭客剋星誕生!捷克新創AI,揪出欺騙人工智慧詭計!(上)

捷克新創的AI輕鬆破解金融駭客的詭計?!到底它是如何辦到的?


▲ Fintech 金融科技市場中的 AI 人工智慧品牌(圖片來源:cbinsights,如有侵權請告知) 

 

隨著科技浪潮來襲,金融產業也積極佈局,除了如區塊鏈、虛擬貨幣和 P2P 等新型交易模式愈發興盛外,連傳統銀行的許多交易手續、分析工作也都交由人工智慧運籌帷幄。但,導入 AI 不僅僅影響金融機構本身,虎視眈眈的駭客也馬上跟進,開發出特別針對人工智慧的攻擊手法。而一家捷克新創公司 Resistant AI 找到了解決辦法──用 AI 反擊欺騙 AI 的網攻!

金融業 AI 應用夯 8 成以上交易由程式自動執行

金融業是幾個快速導入 AI 的產業之一,並且因長期的監理要求,金融業的數據資料保存完整有序,AI 導入相較來說較為容易;一方面也是為了因應快速成長的數位通路需求。

玉山銀行科技長陳昇瑋表示,目前全球股市觀察,已經約有 8 至 9 成的交易都是程式執行的,而全球十大對沖基金中,有 6 個已導入 AI 協助交易,代表人工智慧 已在證券交易占有一定的份量。除了證券交易,AI 也被用在產業分析,用來預測股價。

推薦閱讀:痛失英才!台灣人工智慧學校執行長陳昇瑋辭世

但是,駭客也與時俱進,瞄準 AI 和機器學習的弱點,展開新型態的網路攻擊,導致金融組織或企業將面臨巨額損失、機密資料或客戶資料外洩的風險。

駭客故意餵錯誤資料 誤導 AI 並非難事

AI 固然好用,但也不是萬靈丹,並且很可能變成攻擊目標。駭客若部署對抗式機器學習(Adversarial Machine Learning)找出機器學習模型的弱點,在訓練資料中參雜惡意樣本與駭入後台干擾參數,就能有迅速破壞 AI 運作。

推薦閱讀:美國將 AI 納入軍用!到底人工智慧會成為人類救星還是殺人機器?

趨勢科技全球安全研究副總 William Malik 也曾談過:「其實演算法是很脆弱的,十分容易因為訓練資料被動手腳,導致要辨識動物的影像 AI 將長頸鹿辨識為單車。」因為 AI 不像人類,不是看整體而是「盯著」細節的部分,這些重要的細節若被更動,AI 就非常容易出狀況。

假若不幸遭到入侵,訓練資料被惡意加料,辨識模式被蓄意誤導,然後最後演算法在市面上佈署,就算是資安公司也可能會中招,讓 AI 反而成為欺騙防毒軟體的利刃。

本篇為上篇,下篇請點此連結

 

 

 

 

 

 

推薦文章:
AI 產業革命開始!為何 Python 成人工智慧必備語言?


AI人工智慧將如何衝擊你的未來?還是學好Python吧!


AI 重機車手 MOTOBOT – 專為超越 MotoGP 冠軍 Rossi 而生


連 IBM 都推!入行 AI 人工智慧必學 Python 的8大理由


極致精準甩尾竟然靠人工智慧?!還有什麼是它辦不到?!(上)


穿戴裝置潮流正夯,人工智慧眼鏡如何改造你我世界?!(上)


青少年隱私的守門員!人工智慧手機具”防拍裸照”功能(上)