机器学习检测软件漏洞

没有人怀疑人工智能(AI)和机器学习(ML)将改变网络安全。我们 只是 不要 知道 如何 。尽管文献通常关注攻击者和防御者对人工智能的不同使用,以及由此导致的两人之间的军备竞赛,但我想谈谈软件漏洞。

所有的软件都有缺陷。原因基本上是经济的:市场不想为高质量的软件买单。除了一些例外,比如航天飞机,市场把快速和廉价看得比好东西更重要。其结果是,任何大型的现代软件包都包含数百或数千个错误。

某些百分比的bug也是漏洞,其中的一个百分比是可利用的漏洞,这意味着知道它们的攻击者可以以某种方式攻击底层系统。其中的一些是被发现和使用的。这就是为什么你的电脑和智能手机软件不断被修补的原因;软件供应商正在修复漏洞,这些漏洞也是已经发现并正在使用的漏洞。

如果软件供应商在设计和开发过程中发现并修复所有错误,一切都会变得更好。但是,如我所说,市场不会奖励这种拖延和花费。人工智能,尤其是机器学习,有可能永远改变这种平衡。

发现软件漏洞的问题似乎非常适合ML系统。逐行检查代码是计算机擅长的一种繁琐的问题,如果我们能教会他们脆弱是什么样子。这是一个挑战,当然,但有已经 一个 健康的 属于 学术 文学关于这个话题—— 研究 继续。随着时间的推移,我们完全有理由期望ML系统在这方面有所改善,我们有理由期待他们最终会变得非常擅长。

发现漏洞对攻击者和防御者都有好处,但这不是一场公平的战斗。当攻击者的ML系统发现软件中存在漏洞时,攻击者可以使用它来破坏系统。当防御者的ML系统发现相同的漏洞时,他或她可以尝试修补系统或程序的网络防御,以监视和阻止试图利用它的代码。

但是,当同一系统在软件开发人员手中,他们使用该系统在软件发布之前发现漏洞,开发人员对它进行了修复,因此它一开始就不能使用。ML系统可能是他或她的软件设计工具的一部分,当代码还在开发中时,它将自动发现并修复漏洞。

快进到10年左右的未来。我们可以互相说,“还记得那些软件漏洞盛行的年代吗?在每个编译器内置ML漏洞查找器并在软件发布之前修复它们之前?哇,那些年都是疯狂的,“不仅未来可能,但我敢打赌。

从这里到那里将是一段危险的旅程,虽然。这些漏洞查找程序将首先在现有软件上释放,为攻击者提供了数百个(如果不是数千个的话)漏洞,以便在实际攻击中加以利用。肯定的是,防御者可以使用相同的系统,但是今天的很多物联网系统没有编写补丁的工程团队,也没有下载和安装补丁的能力。结果是攻击者可以找到并使用数百个漏洞。

但如果我们看得足够远,我们可以看到一个未来软件漏洞都是过去的事了。那我们就什么都不用担心了新的和更高级的那些人工智能系统提出的攻击技术。

这篇文章之前出现在SecurityIntelligence.com上。

发布于1月8日,2019年上午6:13•56个评188滚球网站论

188滚球网站评论

天气1月8日,2019年7:00 AM

它必须没有野蛮的逻辑,由于搜索空间太大,有缺陷需要查找,还有编译器错误。
他们可以继续执行IDA调试器加载项所做的操作,该加载项检测用户输入,然后跟踪所有路径以查看它们是否崩溃。
但是,路径可以有3个或更多方向,每个选项可以有3个其他方向来生成树,但这3个值可以达到双字值。
它不会清除所有的错误Ai或Ml,但它应该得到很多红色。

1月8日,2019年7:00 AM

我认为这也是可能的,也因为“安全语言”,比如C,蟒蛇,…这阻止了整个vulns类因为它不允许分配内存,使用指针,访问越界…
(*使用不安全语言编写的编译器/本机代码)

但我认为我们今天看到的大多数错误都是“类型混乱”的“孩子”:
今天,我们有一个内存存储:
代码
-数据
数据堆栈(再一次)
-函数的返回地址(今天在堆栈中,但含义不同)

所有这些都在一个记忆中,如果您覆盖其中的任何一个,它将被混淆为不同的内容。

如果我们有多个记忆怎么办?
一个用于数据
一个代码
一个用于返回地址
这样你就不能覆盖大部分内存:
数据:问题仍然存在,但不太危险
-code:在我的理论模型中,它只会被读取,在不同的内存中
-返回地址:在我的理论模型中,只有调用/ret指令可以写在那里,没有办法篡改它。

这样,即使您有一个写什么的原语或缓冲区溢出,也只能覆盖数据,但数据通常被认为是不可信的,在使用前要进行消毒。
您可能会使程序崩溃,但不会获得rce。

汤姆C1月8日,2019年上午7:38

让我直截了当地说:
今天的问题是公司没有花费资源(金钱和时间)去发现/修复错误和漏洞。
原因是市场看重的是速度和低成本,而不是质量和安全性。
3)解决这一问题的方法是机器学习:SDLC中内置的软件可以自动发现漏洞并在软件发布之前修复它们。

马上,我们有科协、达斯特和最后的产品可用来发现漏洞。这些工具应该是任何软件开发人员工具包的一部分,但是由于实际成本和时间/资源的关系,这些工具并不是必需的。有些甚至是开源的,但是仍然没有被充分采用,因为免费版本不能处理所有的管理/跟踪问题,而且仍然需要投资将扫描仪插入构建/部署/CI/CD系统。

我不同意你关于ML在10年内影响软件整体质量的观点。同样是这些坏软件的驱动没有消失的迹象,至少在美国和亚洲是这样。欧洲可能是另一回事,虽然。另外,为了实现这一点,必须有人在ML系统上投入时间/金钱,并且他们将期望在此投资上获得一些回报——看看SAST的商业许可成本是多少,达斯特和IAST系统:一个命名的用户甚至一个应用程序许可证需要数万美元。如果ml更有效,那么我应该期望ML供应商至少会提出同样多的要求。

脆弱性问题的答案不是一个新的工具,但首先要消除生产劣质软件的动机。

得分手1月8日,2019年45点

如果“市场”指的是供应商,同意,他们想要又快又便宜,他们的销售团队在新产品还没准备好之前就把它从研发人员手中夺走了。经典之作,永不停歇的紧张,因为人类。据我所知,防止这种情况发生的唯一方法就是保守秘密,销售根本无法抓住它。另一方面,可以说,研发永远不会让产品出来,因为他们可以修补它,直到他们龙骨结束。小心你的愿望,ML听起来有点像发明了一种杀死虫子的虫子,然后把它释放到野外,寄托着希望和祈祷。

JG4型1月8日,2019年46点


昨天的一些冗长乏味的咆哮至少涉及到彻底搜索相关参数空间的难对付性。那时我可能还缺镁,医院的探访打开了钾的灯。如果我们把智力定义为连接因果关系的能力,然后,使用人工智能搜索漏洞是非常明显的。使用一个没有人类参与的OODA循环来防御攻击显然是AI。

https://www.188滚球网站schneier.com/blog/archives/2015/10/friday_squid_bl_498.html#c6708900

https://www.188滚球网站schneier.com/blog/archives/2017/06/friday_squid_bl_581.html#c6754660

https://www.188滚球网站schneier.com/blog/archives/2017/08/friday_squid_bl_590.html#c6759138

https://www.188滚球网站schneier.com/blog/archives/2017/09/biological_uu.html_c6759669

深交的

几个月前,由于克莱夫提到的一些事情,我偶然发现了一个事实,那就是布鲁斯·艾姆斯很久以前就发现营养不足是最不为人所知的生活方式疾病的根源。镁缺乏症在美国很流行56%的人严重缺乏镁。医疗保健犯罪卡特尔喜欢这样。他们是连锁犯罪卡特尔网络的一部分,这些卡特尔以食品的形式销售毒品,医学,电器、玩具和住房,然后从结果中获利,包括生活方式疾病和让人们购买在再教育营地制造的有毒塑料垃圾的焦虑。每个想知道的人都知道糖,电视和豆油是危险因素,但是有多少人能清楚地说,我们的家人和朋友也死于矿物质缺乏症?我在查Bruce Ames,看他对诱变因子的检测是否已经更新,以检测Clive提到的PFAS和PFOA材料。卫生安全有点离题了,但人工智能将彻底改变它。人体和环境中迫切需要实时的化学传感器来检测毒素。以及将健康问题的因果联系起来。它们连接点的速度比我们快:

https://www.nakedcapitalism.com/2019/01/kiss-left-medical-data-privacy-goodbye.html

乔治第三世米切尔1月8日,2019年七53点

布鲁斯,我敢打赌,我们将会迎来一个软件漏洞成为过去的未来,只是我肯定不在这里收钱。

“安全”的计算机语言是一种幻想。任何相信自己正在使用它的程序员都不太可能提前找到问题。Java社区已经彻底洗脑,不担心内存使用/碎片化,线程建设/破坏,竞争是因为他们相信编译器可以在不需要任何程序员努力的情况下处理这些问题。

毫无疑问,机器学习可以缓解这些问题,但它永远不会完全解决它们。我们对这些机器学习系统提供的诊断有多大信心?谁来评估机器学习系统本身的弱点呢?

1月8日,2019年8:02我

我很高兴听到这个全新的ML扫描将比我们今天的任何东西更便宜和更快,我的雇主不允许*静态代码分析,因为它还不存在,这让我松了一口气……
*允许我安装会带来安全风险,或者让别人安装,免费和开源软件。只有昂贵的东西才是安全的,但我们不会付钱的。

天气1月8日,2019上午8点03分

@我
在引导时,您可以设置任意数量的全局描述符表,操作系统可以用这些来完成你所说的。

米歇尔1月8日,2019点8:10

如果我们使用ML来对抗漏洞,确保他们使用ML来查找漏洞。
看看这个简单的工具,我发现检查pc机已知的漏洞只是基于操作系统,浏览器等
https://www.safetydetective.com/vulnerability-tool/

它会转到已知问题的数据库,并告诉用户(90%的解决方法是更新win版本,我就是这么做的,但我的家人不知道他们需要。

如果像这样简单的工具,不需要ML,但与其说退出数据库的脆弱性,不为任何人所知或使用(我敢打赌,如果你知道这个工具的存在),我不认为科技进步是一种优势,当人类仍然健康的时候……不是那么聪明:)

德里克。琼斯1月8日,2019点8:39

最有效的漏洞检测工具大多是手工编写的。“利用机器学习来……”只是在追赶人工智能的潮流,或者研究人员没有手工制作工具的技能。

软件工程中的机器学习主要是一场列车失事:
http://shape-of-code.coding-guidelines.com/2015/11/23/machine-learning-in-se-research-is-a-bigger-train-crask-than-i-imagined/

但是有一些有趣的用途,例如,自动故障修复:
http://shape-of-code.coding-guidelines.com/2009/11/27/software-maintenance-via-genetic-programming/

自那以后,情况有所改善,但我不知道在生产中使用过什么系统;就要来了。

约翰尼1月8日,2019年9:04我

AI和ML在发布前发现代码中的错误就像融合的力量:在可预见的未来,我们将“几乎在那里”。

原因是在大多数“IT实践”中,如硬件和软件体系结构,网络设计、系统管理,等,“对手”是一件硬件,软件,流程或业务目标。但正如一位睿智的同事所指出的:ITSEC是唯一一种实践,在这种实践中,对手是一个人的思想,拥有人类范围内的所有想象力和创造力。

由于ML和AI无法分辨裸体和沙丘的区别,它怎么能探测到幽灵或者熔解问题呢?

阿米特·维特海默1月8日,2019年9:19我

我认为ML\AI确实对漏洞发现问题有很大的贡献,但我认为,你对“十年左右”消除脆弱性的预测在一两个世纪前就已经过时了。

1.静态代码分析暂时与我们在一起,这仍然不是一个足够普遍的做法(慢慢地到达那里,我相信)。
2。漏洞是一个不断变化的常量——十年前使用SHA-1和3DES是可以的。如今情况就不那么乐观了。漏洞随着攻击的发展和技术的发展而变化。任何扫描器只在运行时有效。
3.我对这个话题并不像我想的那样熟悉,但是基于ML的系统不应该只局限于编码错误吗?许多漏洞都是由于设计选择不当造成的,在代码级别并不总是可见的。

Phaete1月8日,2019上午9点

@米歇尔

看看这个简单的工具,我发现检查pc机已知的漏洞只是基于操作系统,浏览器等

这是一个简单的小工具网站,试图卖给你防病毒和/或恶意软件保护。
他们的隐私政策规定,他们可以收集所有数据(IP,个人的,电子邮件等)和使用它无论他们想要的东西。(D-15)私隐政策
你只能在以色列起诉他们如果你有任何问题,他们的使用条款说。

所以,请记住他们的“商业精神”与这个网站告诉你买什么,或者它想要的信息。

不可能的愚蠢1月8日,2019年47点

没有人怀疑人工智能(AI)和机器学习(ML)将改变网络安全。

我做的,因为当我看到炒作的时候,我就能认出它。我们是没有附近即使拥有最基本的人工智能,ML无处可去附近功能强大,足以发现当前未解决的大多数软件漏洞。

人工智能,尤其是机器学习,有可能永远改变这种平衡。

你倒过来了。ML比AI的进步要小。ML作为一项热门技术存在于今天并不意味着它有无限的潜力。的确,任何熟悉这个领域的人都知道美国有线电视新闻网工作,如果他们是诚实的,可以告诉你它们真的不太适合做复杂的代码分析。

逐行检查代码是计算机擅长的一种乏味的问题

他们已经这么做了,不需要任何ML/AI的流行词废话。正如其他人所说,代码分析工具已经存在很长一段时间了,并且越来越好。所有低垂的水果都摘下来了,这对任何人来说都是困难的,他们认为他们可以将ML投入到问题中,突然发现大量新的错误/漏洞。剩下的一切都将是罕见的,大多数高级语义问题涉及停止问题级别的错误。ML不能用这么少的例子来训练,使用分散的代码许多的包含很多对子例程的条件调用,以及可能在本地和远程机器上执行的许多线程。ML不会阻止物联网设备成为发起ddos攻击的僵尸网络的一部分。

随着时间的推移,我们完全有理由期望ML系统在这方面有所改善,我们有理由期待他们最终会变得非常擅长。

不,没有理由期望这样。有人无礼地对你撒谎,或者你让自己被ML炒作所说服。是的,它是一个非常有用的工具,可以变得更好(就像所有优秀的技术一样)。但是严格地看一下ML的功能和软件安全需求应该是任何自然智能的人理解这个ML所需要的,为了攻击或防御,将正在改变软件安全的世界。

未来不仅是可能的,但我敢打赌。

那么我们打赌吧。我想下大赌注,但我还是接受绅士的打赌吧。让我知道你喜欢什么。

但如果我们看得足够远,我们可以看到软件漏洞成为过去的未来。

纯粹的幻想。消除语法和(某些)语义错误是非ml工具已经完成的一项有用的任务,但是,如果没有真正的人工智能,任何工具都无法解决更大的语义问题,也无法解决仅仅与a一起使用的系统所产生的漏洞有效意图这与他们设计的用例不匹配。

埃里克1月8日,2019年10:59我

等待……什么?难道这里面没有一个前提,我们甚至知道如何——从一个被证实的系统,方法论的观点-如何在一个重要的范围内开发安全和/或正确的代码?甚至理论上?对于从未存在过、没人知道如何制造的东西,举手说“市场失灵”有点过分。

话虽这么说,我个人的观点是,找出如何做到这一点应该是一个优先事项,即使它会彻底颠覆整个软件行业(不是一个很糟糕的结果)。

TheInformedOne1月8日,2019年11:07我

机器学习不能用来教授人工智能常识。智能是通过观察他人(人工智能的当前状态)而习得的。智慧是通过学习不重复别人的错误(“某些”人的当前状态)而获得的。因此,目前业界所称的人工智能只是一种稍微高级一点的自动化形式,它可以提高目前由人类完成的一些工作的效率。虽然在某些情况下,这可能允许机器模仿某些人类行为,它不能让机器像人一样思考。

托尼1月8日,2019年十二11点

如果你的人工智能系统那么好,为什么你要让人类编写bug代码并让人工智能修复它?为什么不去掉中间步骤,让人工智能系统编写代码呢?

Sed魂斗罗1月8日,2019年37点

除了错误(先生,我的卡片卡掉了,没有按正确的顺序拿回来。你被解雇了!)一个人的错误是另一个人的特征。等待第一种语言加入DWIM指令。米尔纳的ML(不是机器学习)接近吗?

主要1月8日,2019年下午1:12

问一个软件工程师关于ai/ml的问题,他会告诉你它将彻底改变人类,让你失业。问他这是否能完成他的工作,他说必须禁止。

极地1月8日,2019年下午2:05

这让我想起了一句谚语:“所有的车轮驱动的目的是被困在上帝忘记的地方,你不会代替”。

(我只提到ml,因为真正的a i对我们物种的危险程度远远大于微不足道的核武器)

ML将未检测到的bug质量从“基本/人类”级别转移到“非常讨厌/什么?/wtf”级别。
异国情调,很少见,奇怪的是,在一个iot/ml/ai/自我思考和行为的环境中,很难发现的错误正是你不想要的,这是不久的将来。

TFB1月8日,2019年下午2:15

对于ml(其中,真正地,意味着神经网络在这个循环中)系统要善于发现错误,他们需要两件事:大量的训练数据,正确地贴上标签,而且,与训练数据的大小相比,“缺陷”的特征是相当小的。NN非常擅长看猫的照片,因为互联网上有数千亿(也许只有数百亿)张猫的照片,所有的标签都是这样的,例如,伴随着数万亿(也许只有上千亿)的“非猫”图像,也仔细地贴上标签。

对于错误数据库是这样吗?当然不是。悲哀地,布鲁斯已经喝下了当前人工智能炒作周期的饮料:我将把这篇文章添加到我的清单中,当我们在未来10年进入下一个人工智能冬天的时候,我会拿它开玩笑。

杰西汤普森1月8日,2019年下午2:31

没有人怀疑人工智能(AI)和机器学习(ML)将改变网络安全。

@克莱夫·罗宾逊。@Clive Robinson怀疑人工智能和ML能否改变网络安全。他以前说过(至少在目前的算法方法中),没有度量标准来衡量技巧是“智能的”,也不是这些机器“学习”任何东西的过程。

如果我正确理解他的立场,梯度下降法并不比Eratosthenes筛子“学习”所有质数更新奇。

- - - - - - - - - - - -

也就是说,我的立场是,人工智能不是我们教机器思考,而是我们更多地学习什么是“思考”,甚至是当我们去做吧。

如果我们仍然对算法中越来越接近人类的判断无动于衷,那只是因为人工智能研究教会我们的东西足以慢慢地侵蚀人类思维的魔力。

一个例子是人工智能安全研究如何成为严格的实际努力,数学上把我们所认为的道德形式化。

瓦埃勒1月8日,2019下午3点07分

比如航天飞机,

首先,航天飞机项目也出现了“打嗝”,但我对辩论这一点不感兴趣。

市场把快速和廉价看得比好东西更重要。

我想更深入地探讨这个问题:为什么会这样?“市场”是根本原因吗?或者是更模糊的东西?有一个经济因素,当然,但这背后还有其他因素。

瓦埃勒1月8日,2019年下午3:20

发生故障的。。。

如果 我们只能教他们脆弱性是什么样的。

AlphaZero以显著的成果(虽然不是独立验证的)教给人工智能基础,让它与之一起运行。人工智能发展人工智能;一个不错的引导进化。比外包,我想,)

我们只是不知道,或者什么时候。

“何时”,我不能预测。“怎么做”:为什么要在AI指出“bug”的时候停下来?让人工智能完成整个开发周期!我们?我们只是坐在沙滩上,从一个杯子里拿着一把小伞喝水:)

西奥1月8日,2019下午3点41分

这是错误的,原因与几乎所有软件开发都是错误的是一样的。
软件,像高卢一样,可以三叉切开。
1.被证明没有错误的软件。
2。我们不知道它是否有缺陷的软件。
3.已知有缺陷的软件。

在识别第三种类型上花费了太多的精力,而在发现第一种类型上几乎没有。

根据我在嵌入式系统方面的经验,许多技术,例如动态内存分配,递归和多线程用于隐藏我们可以(几乎)处理的静态分配问题,对于动态分配问题,我们不能。因此,将类型3的软件转换为类型2的软件并没有显示它们正确工作的现实希望。

为了训练AI我们不需要bug的例子,我们需要许多正确程序的例子。当人工智能说它无法理解程序时,我们也需要拒绝它们。祝你好运。的平方。

基思•道格拉斯1月8日,2019点3分51秒

编写(任何类型的)程序来检测所有和仅有的漏洞都是不可能的——这或多或少是Rice定理的IT安全版本。那么,对于不可避免的误报和“兴趣”,“自动化”流程会做些什么呢?(例如,不是工具本身的分类,而是值得研究的。

彩票1月8日,2019下午4点31分

适用于手头的主题,ml-ai听起来像是它要解决的问题的转基因种子,即。,软件行业的事后安全问题:

人工智能在其人类主人的知识之外做出决定的想法并不是一个新概念,通常被计算机科学家称为“黑匣子”问题。基本前提是在人工智能研究的早期,这种方法是让人们指定要遵守的规则,让人工智能跟着他们。


因为太复杂太耗时,所以没有起飞,机器学习——以及后来的深度学习——成为了游戏的名字。所以,不是让人类来决定AI的逻辑,可以输入大量的信息,它将决定自己的行动方针。但是我们怎么知道是什么导致它做出决定的呢?

https://www.siliconrepublic.com/machines/darpa-david-gunning-military-ai-siri

Rob DuWors1月8日,2019年下午4:56

人们不得不怀疑,这种增强的ML安全性的标准是否会高于挑战问题,以便发表评论。188滚球网站不会想到这里歌舞伎剧院的保安。

好吧,必须对依赖于“然后奇迹发生”的技术持怀疑态度。在当前的人工智能中,是什么给了这样的希望?但也许我们可以从一个更基本的问题开始:什么是bug?严重的是,我们来问问什么是bug,而不是特性。

很明显,对于攻击者来说,无论以何种方式或类型,bug都是一个潜在的特性。而用户则不能正式声明某个东西是bug,他们可以抱怨糟糕的用户体验,或者请求检查系统行为(对于大多数客户支持部门来说,这是一个可疑的提议)。请咨询最近的用户协议。

因此,声明错误必须属于系统提供者,更准确地提供给预期的和授权的系统发起人。bug不是一个技术决策,这是一个最终价值选择的商业决策:这个新事物表现出它自己是好的还是坏的?更准确地说,bug是一种系统功能,发起者不希望它出现在系统中,但是现在发现它出现时却很不高兴。因此,bug扩展了系统的功能。噢,我们必须有一个独立的" at应该是什么"的标准来决定它是否是一个bug,特性,或者中立(“不在乎”的状态)。除其他外,这一直是计算机安全的诅咒,永远不会使完全自动化成为可能。

此外需求错误是可能他们是否涉及到直接的矛盾背后的数学和逻辑(因此理论上可检测)或他们未能映射到外部现实根据赞助商赞助或业务交互层面的客户,业务合作伙伴,监管机构或其他外部行为者。这些错误本身是所有逻辑和数学都无法触及的。

因此,人工智能的奇迹将以某种方式打破所有的语义丛林。因为ML和人工智能前冬季专家系统一样可靠,后者暗示但从未接近实现。在根本问题上,即使确定观察到的行为是否是错误,丢弃一堆“训练数据”也几乎没有变化。也,另一个明显的策略是让人工智能完成所有的代码生成,这实际上不会改变根本问题。很漂亮的,嗯?我们当然可以相信。两个词:形式不确定。所有夸大的计算机科学断言的祸根都是不可判定的。大多数ML对任何形式的证明(逻辑编程的可能性更大)都有相当大的抵抗力。事实上,ML更倾向于启发式的集合,而不是提供算法的确定性。在这方面,ML确实遵循了一条与人类思想相似的道路,并由此产生了逻辑和数学无法解决的类似难题。

我们可以期望在业务目标的抽象级别之间的机械转换所产生的错误中得到一些改进,需求,到实施,生产,以及下一个系统迭代。有多少还不清楚。但是1美元可以给你100美元,最极端的情况下不会超过90%,从而有效地使bug无限出现,好吧,仍然有效的无限。更糟的是,系统的紧急功能扩展也会在每一个级别上产生“错误”,而不仅仅是翻译错误,这一点不会达到目前的水平。因为判断每一个都意味着做出一个价值选择——例如,需求没有定义对色盲者做什么,在这种情况下,色盲可能会因为遗漏错误而定义一个错误。哦哦,实际上无穷大更像是字面上的无穷大。

也许当人工智能接管了所有的文明,将有奇妙的方法来解决价值选择,完全在非生物智能社区,也就是人工智能。对于那些不可能期望理解其操作的人来说,这似乎是不可理解的。但人工智能的人不喜欢这样的谈话,因为他们和人类的其他部分几乎没有什么可说的。所以在极限状态下,这个话题可能会变得毫无意义。

克莱夫·罗宾逊1月8日,2019年下午5:15

@,

有人知道为什么知更鸟明明是橙色的,却被叫做“知更鸟红胸”吗?

你可以去查一下,因为“知道为什么”,但不是很多人知道。

这是一个问题,在我们谈论“机器学习”和“人工智能”之前,我们真的知道人类的“学习”和“智能”究竟是什么吗?

但是正如我在过去提到的漏洞(bug)有三种类型:实例和类,

1,知道,已知。
2个,未知,已知。
三,未知的未知。

我们应该能够在已知的攻击类中测试并找到所有已知的实例(1),因为我们不仅有足够的信息来构建规则,而且有足够的信息来构建算法。

对于已知的攻击类,我们可以通过算法或基于规则的系统找到新的实例(2)。

这使得我们在未知的攻击类(3)中拥有未知的实例。我们没有例子,所以没有规则可以建立一个算法。

我们怎么能指望一个威慑机器比人类做得更好呢?有些人会认为人类在最好的时候是非常不正常的?

好吧,有一种方法,但它并不实际。也就是说,你以一种蛮力forcr的方式让一段软件通过每一个可能的输入状态。在某个时候,要么会发现错误,要么会对每个州进行详尽的测试……

我们知道宇宙中没有足够的物质/能量或时间来经历哪怕是非常有限的状态数的一小部分即使是非常小的程序你可以在很短的时间内写出来也可以很容易地计算出这些状态数。

然而,这并不是说我们不尝试。我们只是在这个想法上撒上一点神奇的随机性,并称之为模糊。fuzzing真正令人震惊的地方是代码写得有多糟糕,因为fuzzing很快就会出现bug……的时候,如果我们写的代码还过得去,它在我们的生活中找不到任何东西。但是它在几分钟到几小时内就能找到东西……

但在这两种情况下,都没有迹象表明大多数人认为是“智力”或“学习”。

它有点像2型
或者"黑天鹅"问题,因为我们知道天鹅的种类是什么样子的,即使我们可能从来没有见过“黑天鹅”的实例,只有“白天鹅”。

但是我们没有有相当不错的概率有spiecies鸟我们从未见过/认可,我们都知道他们可以是白色/黑色/粉色/绿色/蓝色或其他颜色我们甚至没有一个名字(与知更鸟,发生了什么当橙色被命名为“红胸”时,它甚至没有被命名。

@jesse汤普森,

除了你想让我开口,你刚才说过,

…这并不比埃拉托斯提尼的筛子“学习”所有质数更新奇。

筛子什么也学不到,这就是为什么它被这样命名。它遵循一个高度威慑的算法从几个基本公理。质数是在无穷后继数列表中,从第一个例子中选出的数。

没有学习,只有从一个非常简单的决定论算法筛选出来。

更糟糕的是,由于筛子不能存储素数,它甚至没有像数据库那样多的知识,你可能会争辩道,“通过死记硬背来学习”和“重复一个”。

很容易看出,如果筛子确实记住了它发现的素数,那么它可以通过在初历和它们的倍数周围反射而大大加速。

克莱夫·罗宾逊1月8日,2019年下午5:51

@布鲁斯,

从这里到那里将是一段危险的旅程,虽然。

是的,还有一个原因你没有提到。

据说“犯错就是人”,“人从错误中吸取教训”。这些话的最后一句,只说对了一半,只有当我们改正错误时,我们才能真正地从错误中学习。

例如,我们只在C语言的语句末尾加上“;”,因为编译器会惩罚我们不这么做。

如果原始语言设计器的设计没有出错,那么让编译器静默地输入“;”是很简单的。

但我们认为编译器可以做到,您认为要过多久人类才会变得懒惰,不再费心输入任何“;”,而让编译器去做呢?

事实上,为什么还要教“;”呢?

关键是人类不会像没有必要那样学习。

不学习简单错误的真正危险是我们在大多数情况下不学习如何处理错误所以当出现错误时ML AI软件无法处理,谁学会了如何超越它的局限性?

但这不是假设,我们现在看到的是我们没有从过去的错误中吸取教训,除非是在很短的时间内。然后在一小段时间内说五年,大多数人要么已经忘记,更重要的是从来没有从过去的错误中吸取教训。因此,我们就像一场无尽的噩梦一样重新体验它们。

@ Wael,

我猜你要指出的是计算机学习下棋的例子表明,ML和AI可以超越人类……

但是真正的意思是什么呢?

我们真的想成为电脑的“猫”、“狗”或其他“宠物替代品”吗?

ML或AI不需要有“物理代理”,也不需要做任何哪怕有一点点敌意的事情来摧毁人类。正如我们现在所记得的,失去自尊将是社会的丧钟。我不确定这对人类意味着什么。但几年前,人们注意到,驯养动物的脑容量比它们的近亲(仍然是野生动物)少四分之一左右。

这就是人类的命运,大脑萎缩是因为不使用和没有使用的期望?

瓦埃勒1月8日,2019年42点

@克莱夫·罗宾逊,

计算机学习下国际象棋表明,ML和AI可以超越人类……

电脑国际象棋的引擎很久以前就超越了人类的能力!他们可以消灭世界冠军。阿尔法泽罗在仅仅4小时的训练中就超越了这一点!

但是几年前,人们注意到家养动物的大脑大小……

鲸鱼的大脑比人类大,但是我们更聪明……我想。但你是对的:要么使用它,要么失去它!

这就是人类的命运,大脑萎缩是因为不使用和没有使用的期望?

似乎是这样。或nanites…忘了这部电影,我的大脑萎缩了:(

瓦埃勒1月8日,2019年23

@克莱夫·罗宾逊,

1,知道,知道2,未知,Knowns.3,未知的未知。

你开玩笑吧!“未知的已知”?那是“合乎逻辑的异端邪说”!

你需要睡一觉,酋长!把她踢出去,然后上床睡觉!已知的未知,未知的未知…(我不相信,顺便说一句。)

杰拉德·范沃伦1月9日2019年12:18我

这就是经济(盎格鲁-撒克逊)模式的基础。非常强大。

克莱夫·罗宾逊1月9日2019年气象厅

@ Wael,

你开玩笑吧!“未知的已知”?那是“合乎逻辑的异端邪说”!

逗号用错了它被认为是"未知的,已知”。这是“已知类”的“未知实例”(即第二种类型)。

你知道"白色,因此,很久以前,你就有了第一个新类别“天鹅”的“白色”实例(技术上称为“天鹅属”)。你可以预测可能会有"灰色,小天鹅身上的“天鹅”颜色甚至被假设为“黑色,天鹅“从没见过”。这不仅是可能的,事实上,历史表明,确实有关于他们的讨论,从旅行者的故事等。我们还从其他鸟类(火烈鸟)那里知道,我们可能会——也许——以“粉色,天鹅“,但到目前为止,据我所知,还没有人见过,或者制作过[1],但既然我们有了白色和黑色天鹅的灰色,[2]已经出现了。

关键是我们对新“实例”的预测能力有多可靠。事后看来,在给定的攻击类别中,我们确实经常会得到新实例。

但真正的问题是,一个新实例是如何出现的?

有两种占有,

首先,“了解一个类”你可以用其他方法来研究它。一个例子是当我谈到“串行信号”和“基于时间的隐蔽通道”。你现在看到的每一个串行硬件信号都可以作为一个隐蔽的通道,你所要做的就是找出利用它的两个步骤(调节,接收)。

其次,“不知道一个类”,您研究一个系统,看到异常,然后研究如何执行额外的步骤,将其从一个潜在的漏洞转化为一个漏洞。根据定义,所有新类的第一个实例都是这样出现的(尽管我们当时可能没有意识到这一点)。

可以说,第一种方法可以转化为规则或算法,并用于预测新的实例。但是,除非你是攻击者,为什么要麻烦呢?因为已经定义了一个类,你可以使用它的特征来确保你修改了所有的系统来对这个类免疫,因此,该类中的新实例不能在新系统中出现。

这让我们回到了@Bruce我们的主机点,关于这种ML人工智能工具将首先用于“现有系统”…

所以是的,我希望MLAI能够找到“已知类的预期实例”,当您理解“完全定义类”的基本规则时,这并不难做到。

但是,如何找到“原型类”,然后找到“信封”,将它们转换为“完全定义的类”,从中可以提取“基本规则”,在此基础上构建所需的规则或算法,以找到“原型实例”?

我们目前不知道如何做到这一点,当我们看到它完成时,我们会“挥手”,或者给这个过程起个名字,比如@Bruce在“thinking hinky”中所做的,并希望随着时间的推移,我们能够找出它背后的一些方法或过程。

在某种程度上,它就像进程名"Random"我们定义它的方式是,它不是我们所说的"它不是决定性的"但这实际上描述了两件事,

1,随机的。
2个,我们看不到威慑。

这意味着“随机”不存在,这就是所有的威慑,但我们就是不明白为什么。这就是“上帝不会和宇宙玩骰子”,但上帝可能会像鲨鱼一样射水池。

因此,问题就出现了:“思考Hinky”是否会作为一种方法或过程被完全确定?.我想说,即使宇宙不是完全决定论,这也是不可能的。

目前ML AI是在完全确定的机器上进行的。阿兰图灵知道你必须有一个“随机”的来源,这就是为什么他坚持把它内置到他工作的计算机的设计中。

但即使随机是真的,我们也能有效地利用它,我认为我们永远也找不到所有类型的攻击。也就是说,虽然我们可以从“已知类”推断出新的类,但是总有一些类与现有的“已知类”没有共同点。

更进一步,我认为这仍然适用于ml ai,它可能能够更快地或以不同的方式完成它,但它仍然需要利用资源。因为即使尽可能有效地使用随机也不能解决有限资源的问题。我们没有理由认为攻击的实例或类是有限的,即使我们相信我们的宇宙是有限的。

这真的很重要吗。国际象棋是一种完全威慑力的游戏,你可以学到所有关于它的知识,因此你可以威慑力地通过每一个可能的组合件的位置和动作,并产生一个他们的地图。一旦你这样做了,你可以——如果你有资源的话——设计一个“机械土耳其人”来玩。就像简单得多的“零和叉”/“tic大头针脚趾”一样,你的土耳其人将玩一个最优的游戏,它的逻辑结论,从任何起点或错误的对手。两个这样的土耳其人能得到的唯一优势是通过某种方式迫使对手犯错,根据定义,他们做不到,所以比赛在开始前就决定了…[4]。因此,一个ML或AI系统如果有足够的资源,而它的对手没有,那么它将获胜。这只是一个问题,找到一个策略,它的资源有限的对手会很快被迷惑。这实际上就是你所看到的,所以没什么好惊讶的。

如果攻击的种类是无限的,或者超出了ML或AI系统的资源,那么就可以归结为“谁拥有更好或更多的资源”的匹配。如果他们也使用随机元素,那么整个事情就会归结为许多人所说的“抛硬币”(我不这么认为,我也没有比这更有力的短语了,因此,我同情爱因斯坦的困境;—)

这就把整个论证变成了旧的升级的ECM,抗干扰问题。

但更糟的是,在这个过程中,它会“打败”程序员,到那时,他们将无法实现一些人认为人类大脑可能实现的“量子飞跃”。

这又引出了另一点,如果攻击类是无限的,而ML或AI系统确实有效地使用了随机的,到目前为止,难以捉摸的量子计算会有什么不同吗?简单的回答是“不是真的”,虽然它可能会改善一些事情,无限毕竟不是有限的。

噢,同样的道理也适用于正在测试的软件。它必须运行的资源是非常有限的,所以软件在保护自己的时候会受到很大的限制。

因此,即使ML或AI系统能够发现正在测试的软件容易受到攻击,问题是“无论如何你能做些什么吗?”

因此,我们总是会有一些脆弱的软件系统,而这些系统是软件无法解决的。

但是我已经说了很长一段时间,因此我认为C-v-P和“概率安全”是合理的。但去年这个时候,我们有“积极的证据”与垮台等人公开…

软件在计算堆栈中只能走这么远,对于大多数编写的软件来说,它只下降到ISA的程度。对一些人来说是微代码,对另一些人来说是RTL,这是软件在计算堆栈中所能达到和处理的极限。

在这个级别之下,你有类似于MMU和DMA的东西,在内存之下。任何可以使用MMU或DMA系统的人都可以随意更改内存,而CPU或以上绝对无法以一种可靠的方式对其进行更改。

但是记忆是自我的,即使它不能被软件保护,可以被软件攻击,这是Rowhammer和类似的演示。也就是说,该软件可以在MMU实施的较低硬件保护措施之外进行“周围接触”攻击,并改变内存。

虽然可以在硬件上做一些事情来防止Rowhammer和类似的,价格标签将很高。同样的,熔解等,“我们能负担费用吗?”可能,“我们会支付费用吗?”大概不会。

有没有成本更低的缓解措施,是的,我已经谈论他们很多年了,但它们都有这样或那样的副作用。最难暴露的是“失去有效的连接”…

因此,我个人的信念是易受攻击的软件和易受攻击的系统是留在这里为大多数用户。我相信这将使SigInt机构等高兴,哦,还有从软件钱包里偷钱的网络罪犯。

这提醒了我,

你需要睡一觉,酋长!把她踢出去,然后上床睡觉!

是的,我做的,当我看着时钟[5];-)但现在我有一些,但她仍然潜伏,在那段时间,有人重置时钟在9点33分。

[1]火烈鸟明显是灰白色的。他们在被掳的时候,也松了松针。这种粉红色来自于它们对盐水虾和蓝藻的饮食习惯

〔2〕https://ww2.rspb.org.uk/birds-and-widlife/bird-and-widlife-guides/ask-an-expert/previous/swantering.aspx

是的,这是爱因斯坦的名言,我们现在知道这是错误的(他可能也这么做了)。像射击池一样掷骰子是一个完全威慑的过程,有一个投币装置显示了这一点。我们“更温柔的凡人”拥有的是“信息不足”,因为我们既不是无所不在的,也不是无所不能的。因此,“隐藏变量”或过程作为一种解释我们目前缺乏能力的想法。康托尔用对角线证明了总有一些我们不知道的东西,因为物理宇宙虽然很大,但它是有界的,所以熵是有限的。

[4]它意识到这一点,国际象棋的结果不仅仅是赢/平/相持,这就是为什么非最优的“五十步走规则”让我对游戏完全失去了兴趣。

[5]中国英语学习网看来,“新瓶装旧酒”试图在马其顿共和国首都隐藏起来因此,把他们从他们新选择的桥下拖到阳光下的时间还没有过去。

瓦埃勒1月9日2019年5:02我

@克莱夫·罗宾逊,

你提出了很多问题,他们每一个人都值得拥有一根属于自己的线。我们会一个一个做。当我的头痛消失或稍微减轻时,我就开始。

里昂1月9日2019早上6:15

不。使用人工智能在源代码中查找漏洞要比使用人工智能在运行的系统中查找漏洞容易得多。白盒子和黑盒子。所以我并不悲观。
虽然不是人工智能,自动化代码安全分析正在取得进展:微软Github.com现在检查已知的CVE和声纳检查是否存在错误代码:
http://nakedsecurity.sophos.com/2017/11/21/github-starts-scanning-million-of-projects-for-unsecure-components/
https://blog.sonarsource.com/pragmatic-application-security

随着越来越多的公司使用这些工具(不仅仅是开源的!)自动化安全分析将成为新常态:-)

TFB1月9日2019早上7:10

@ Clive Robinson

如果QM是正确的(看起来非常有可能)那么掷骰子并不是完全确定的在任何有趣的方面:它可能是确定的,如果你相信超确定性,但是我们不知道结果会是怎样的基于之前的状态,这和哲学上的争论是一样的。这种情况是因为你可以安排这样的情况:一个骰子下落的方式取决于量子态的某个位。

然而,即使在一个确定性牛顿宇宙(所以忽略像诺顿穹顶这样的垃圾),这实际上也不重要。有一个著名的(或者应该是著名的)思想实验叫做“宇宙边缘的电子”。在这种情况下,我们想象一个充满理想的台球气体原子的理想盒子:盒子里的一切都是已知的,一切都是完全确定的。我们知道一切外部盒子也是,除了我们不知道电子在宇宙边缘的位置,所以我们不知道它的引力场(这个世界上没有电磁学)所以,我们让盒子里的气体向前跑,然后问:在我们因为未知电子的引力作用而失去对气体微观状态的追踪之前,一个给定的粒子会经历多少次碰撞,这是由一个粒子,在90度角的地方,与我们所预测的碰撞,来定义的。答案是“大约50个”。

决定论在哲学上可能很有趣,但实际上它与物理学完全无关,即使是经典物理学。

瓦埃勒1月9日2019上午8点06分

@克莱夫·罗宾逊,

这就是为什么非最优的“五十步走规则”让我对游戏完全失去了兴趣。

我和弗里茨比赛,碎纸机和手机上的HIARC。大部分像我一样的困惑,像你一样,对玩完整游戏失去兴趣。

逗号用错了它被认为是"未知的,已知”。

我严重怀疑唐纳德·拉姆斯菲尔德是否有阶级对抗的概念。例如,当他给我们一个他的想法。他说到大规模杀伤性武器的时候并没有考虑到课程的问题(也许他是这样想的,但这并不意味着“未知的未知”是不同的类别。)我认为他只是在一条大规模杀伤性武器上涂了一层花生酱。烤面包,可以这么说;)但我有一个问题:罗纳德是不是坏透了?你的表情?

如果攻击类是无限的

对于给定的解,对。无限的,不!

“先证安全”。但去年这个时候,我们有“积极的证据”与垮台等人公开…

并不是很震惊,是吗?(收集对我们中的一些人来说是无聊的事情。

因此,我们总是会有一些脆弱的软件系统,而这些系统是软件无法解决的。

这就需要证明。给我一个,可能就买了。

我只是随便在你的帖子里选了些东西…


Sancho_P1月9日2019年10:18我

我在:
“……市场这样的拖延和花费是不会得到回报的。人工智能,尤其是机器学习,有可能永远改变这种平衡。(@Bruce我的emph)

哦。
那么,人工智能和人工智能将改变政治?
问题是系统性的,不偏。
-等等,由人工智能和ML管理的政府可能是解决方案……?

瓦埃勒1月9日2019年下午1:50

@克莱夫·罗宾逊,

已知的知识,已知未知数,还有未知的未知。

EvilKiru1月9日2019年26点

@major

“问问软件工程师关于AI/ML的问题,他会告诉你,它将彻底改变人类,让你失业。”问他这是否能完成他的工作,他说必须禁止。”

第一点:没有软件工程师,因为软件不涉及工程。大部分工程都围绕事实和证据展开,软件供应不足。

关于主题点1:只有不称职的软件实践者才害怕AI/ML。

跑题点2:我们这些半称职的软件从业者知道,人工智能永远无法实现意识,也永远无法取代我们工作的核心,也就是思考和推理手头的问题。

@Tony

“如果你的人工智能系统那么好,为什么你要让人类编写bug代码并让人工智能修复它?为什么不去掉中间步骤,让人工智能系统编写代码呢?”

请参阅我的题外话第2点。

约翰·比蒂1月10日,2019年13点

我很高兴看到大多数评论都把这看作是一颗“银弹”,188滚球网站带有所有负面的含义。

一个半好的迹象是目前围绕华为设备的争斗。解决方案似乎是在可信的环境中构建基础设施工具包,这意味着为可信的环境付费,可能意味着质量水平的提高。

克莱夫·罗宾逊1月10日,2019年楼梯口我

@ Wael,

但我有个问题:坏小子罗纳德是不是从你那里借用了这个表达?

据我所知,它对我来说不是原创的,如果我没记错的话,上世纪90年代中期,“伦敦桥一号”(One London Bridge)上的交易员就用过这个词。尤其是碎片像破碎的熔岩灯一样站在它旁边)。

对于给定的解,对。无限的,不!

这取决于你对信息宇宙和物理宇宙的看法。有些人正确地或错误地认为,物质宇宙将信息宇宙“甩”出十亿个,而每一个都以同样的方式引领着它自己的未来,摆脱了它自己的亿万个宇宙。虽然这可能是真的,也可能不是真的,有些人还认为你可以在它们之间向下移动,却再也不能回来。所以,如果有任何一个是真的,那么外面有大量的信息,但是你的选择是有限的。

但也有"信息永远不会被摧毁"的观点,也就是说你可以把物质宇宙倒回去因为所有的信息使它现在的样子,是否有未被破坏的。

显然,这就像倒着放一部电影,因为那样会产生更多的信息……

不管你用什么样的论据,你最终得到的信息总是比你开始得到的要多得多。哦,还有更多的信息能够被储存在物理宇宙中…

因此,物理宇宙实际上是信息宇宙的一个子集。就像一个单独的数是无限自然数中的一个元素一样。因为参数是信息不能被破坏,你也必须考虑它也不能被创建,这就是一切,由此可知,在无穷集合中,因此,我们的“知识”只是一个有限的视图窗口,其中的信息以恒定的速度进入和离开视图

因此,“选择一个模型”最能说明攻击的种类实际上是无限的,即使物理宇宙是有限的。

但是,让我们假设一下,攻击位于一个表面或平面上,甚至只是一条线,粒度问题就会出现。这就是如何区分攻击的实例,但也说它们是攻击的一部分。如果没有某种粒度,除法的可能性是无限的,就像相邻的两个自然数之间有小数一样。

关于,

并不是很震惊,是吗?(收集对我们中的一些人来说是无聊的事情。

有些人会说“完全可以预测,因为正常的人类状况”。我记得一场关于“速度”以及如何确保人们尊重它的争论。争论的原因是,更快的绞痛发生在更多的破坏和死亡,因此人们应该开得更慢[3]。有人讽刺地指出,对于头上的疝气,简单的解决办法是在硬化轮的中间放一个锋利的尖头钉,司机应该没有衣服。问题是让汽车更安全只是让人们感觉更安全因此他们开得更快,做相反的事情可能会让他们开得更慢。我记得当时的想法是,由于“市场营销”的原因,那辆车根本就不能在安全功能上销售,只能在速度上销售。奢侈和摩擦别人的鼻子在它…

因此,当你买一台电脑的时候,你是打算买一个“安全”的CPU,还是一个给你“速度”两倍于每秒帧数的厄运?这就是它将如何“推销”给你…

所以,是的,“完全可以预测”……

这让我们想到,

这就需要证明。给我一个,可能就买了。

好吧,简单一点,

    对于任何给定的软件包,软件开发都是“过去时”。对于同一个软件包,攻击向量将是“未来时态”。

那就是你不能有意识地为“未知”而设计,“不知道”,但你可能会幸运地得到一些,但不是全部,这就是为什么“低挂果实”的论点很重要。那就是你可以设计和开发防御性的,这样一来,机会的攻击者和目标的攻击者都会选择其他“更容易的路径”进行攻击。这就是为什么我一直在讨论这样一个事实:只要攻击者能够通过应用程序的安全端点,“消息传递应用程序”就永远不会是安全的。

防御设计超越了攻击者的通信端点,它被放置在一个独立的设备/令牌上,它必须“将人作为通信通道”作为防火措施,这样一个分离的装置。这是我在“智能”设备出现之前就说过的话,上个世纪,当我们谈到用网上银行“验证交易而不是验证通信通道”时……

哦,你不需要“买它”,你过去的评论说你很久以前就买了:-)188滚球网站

[1]https://www.architecturerevived.com/number-1-london-bridge-london/

[2]正如我们所知/相信的,我们的物理宇宙是有限的,即能量/物质既不被创造也不被破坏,它在任何时候都能容纳有限数量的信息。

一个经典的有缺陷的论点,因为它忽略了“相对论”,即使是在普通的字典意义上。

克莱夫·罗宾逊1月10日,2019上午11:05

@约翰·比蒂,

一个半好的迹象是目前围绕华为设备的争斗。解决方案似乎是在可信的环境中构建基础设施工具包,这意味着为可信的环境付费,可能意味着质量水平的提高。

在华为的例子中,然而,在GCHQ拥有员工的“商业部门”,似乎受到了特朗普大楼的“政治指导”。他们发表了一份令人震惊的报告,基本上声称商业实践的最佳水平现在已经不足以满足“华为”的要求,但显然,对于与美国紧密合作的美国和欧盟制造商来说,远远低于普通水平是可以的。

所以美国间谍软件入侵的系统对英国来说是可以接受的,但是美国无法进入的华为系统就不……

这是鹰派美国国家安全顾问约翰•博尔顿(John Bolton)的标准思维过程。除了其他事情外,他还通过捏造的指控劫持了一名人质。他还对国际刑事法院(ICC)进行了严厉的攻击,威胁要对其实施制裁,因为国际刑事法院胆敢提及美国在阿富汗犯下战争罪这一公认事实。有了这样的右翼民族主义思想,与“我的国家是对还是错”相比就相形见绌了,令人惊奇的是,到目前为止,事情还没有发展起来……

事实上,约翰•博尔顿(John Bolton)和特朗普让美国以外的很多人感到害怕。因为尽管特朗普是个自恋狂,也不太聪明,相比之下,博尔顿显然离预定位置很远。

瓦埃勒1月10日,2019年下午2:14

@克莱夫·罗宾逊,

软件开发是 “过去时”对于任何给定的软件包,对于同一个软件包,攻击向量将是“未来时态”。

你忽略了维护周期。软件开发是过去时和现在分词:所谓的SSDLC。

那就是你 不能有意识的设计吗对于“未知,未知”

我们可以!我们已经反复讨论过这个方面,我们对一些可行的方法有了一些想法——C-v-P?

哦,你不需要“相信”你过去的评论188滚球网站 你买了它很久以前:-)

我被带去兜风了,然后:(

瓦埃勒1月10日,2019年3:44点

@克莱夫·罗宾逊,答:@Nick P,

关于“未知的未知”:

我们对一些可行的方法有一些想法——C-v-P?

也许我们还没有把C-v-P关闭。这里有一个复习:专注于完整的认识方面。这个帖子散布在博客的各个角落,经过了3 - 4年的活跃讨论期。也许,如果我有时间,我会收集相关讨论并按时间顺序列出,然后确定需要什么完整的。我知道我们遗漏了很多。

克莱夫·罗宾逊1月10日,2019年11:26里点

Wael和Nick P(如果你还在的话),

我知道我们遗漏了很多。

是的,世界已经在前进,这意味着修订其他的一些条款。

经常会有这样的想法,也许我应该找到硬件原型的盒子,然后再把东西掸掉,试着阅读我潦草的手写笔记,然后把它们都写下来。

我想先把所有的柱子拉到一起,然后把它们整理出来会更容易些,然后,过去的,正确的,更新并完成。

瓦埃勒1月11日,2019年下午5点

@Alyer Babtu,答:@Clive罗宾逊

我在看报纸的时候,@Clive Robinson在另一个帖子里提到了这件事……

也许是找到未知事物的方法?

我看不出这篇论文是如何在这个讨论的背景下找到“未知的未知”的,有两个原因:我不擅长统计,虽然我喜欢概率论。统计信息…不是我喜欢的。只看了前两页,什么也没听懂。我忘了另一个原因。

我的概率论知识有限结束在这里。伟大的书,顺便说一句。一个经典的!我的一位博士朋友上过这门课。我告诉他其中的一些挑战。他说这门课是孩子们的游戏。数理统计是……书中的每一道题都涉及到某种技巧。没有什么是直接的。告诉他如果标题中有“统计”这个词,那不是为了我。

也许你可以给我们解释一下报纸上是怎么说的:)

阿莱尔·巴布图1月12日2019上午10点16分

@Wael

这篇论文如何应用于在上下文中寻找“未知的未知”

我有过疯狂的一刻,似乎有一个类比。在讨论中,未知的未知似乎很有趣,因为它们可能对我们关心的情况产生影响。我们,至少从概念上讲,考虑各种因素,然后希望能对关键人物有所帮助。这就像纸一样。作者的方法揭示了模型的哪些输入确实在运行(不管我们从一个大的超集开始),并且可以预期总是占大多数响应。

仍然阅读…

重新统计作为技巧-一本书提供了一个基于原则的处理统计数据的一些主要部分。A.S.Fraser推理的结构,威利,1968.

https://archive.org/details/fraserd.a.s.thestructureofreference.1968./第/n3页

或者来自亚马逊等。

克莱夫·罗宾逊1月15日,2019点6:44

@大卫•美瀚

有一个非常合适的例子来说明当前机器学习的状态,它被用来修复bug……

是的,当我读它的时候,我真的认为“现在还不是四月”。

然而,

    公平地说,我们100%没有bug…短暂的。

确实让我笑了之后,“它删除了一切”…

我很想知道“坏代码”是应用程序还是神经网络窃听器,我的钱将在神经网络上。

未公开的1月16日2019年36点

作为一名开发人员,我可以讨论bug和安全性。它们是两个与编程无关的东西的乘积。

首先,编写高质量的代码需要经验和努力工作,知识获取。公司希望尽可能低的价格,并倾向于使用更便宜的开发商,没有必要的经验。结果你得到的是垃圾因为你不愿意支付给最好的开发人员,他们为更聪明的人工作,这些人会为更好的安全支付更高的费用(尤其是银行)。给你个主意,在法国,Java开发人员的最低工资是2100/2200欧元,最低工资是2500/2600欧元。我得到了一份工作,他们需要经验+扎实的密码和安全知识,起薪1600欧元/月,最高2000欧元/月。知道有人只懂Java,以0的经验,获得最低工资为2100的工作。当然,我甚至懒得回答。一分钱一分货。

第二,编程是一项创造性的工作,这就要求不要匆忙行事。我们在编程前必须认真考虑。有时,在做出技术和架构选择之前,我们必须考虑几天或整整一周,并研究一些库和可能的实现。当你告诉他们“我们必须考虑这个问题,至少一个星期到一个月,因为您希望在每一步都进行安全的完整重建,以替换现有的系统”。所以我们没有足够的时间来做好这项工作,我们被要求急于求成,而不是做正确的事情,我们最终在生产中得到的代码是“要重做”(我们称之为技术债务,稍后会咬你屁股)。所以下次你想升级或改变什么…好。你必须重写一半或全部,因为你没有花时间认真地去做,适当地,起先。换句话说:愚蠢的项目经理认为“交付日期”和“资金”而不是“安全”和“如果我们失败,公司将为此付出多少代价”。

你也有严重的文化问题。在法国,和欧洲,你不允许启动一个可能失败的项目。所以没有人会在任何可能失败的事情上投入金钱或时间,但如果成功了,会产生很多钱。这就是为什么没有谷歌,没有Facebook,没有视频,没有Github,互联网上没有来自法国的主要玩家。他们不认为发展是一项严肃的工作,但这是一个临时性的工作,人们工作2到5年,然后才转向“真正的工作,比如项目管理”。所以大多数开发人员缺乏经验,支付不当,匆忙,资金不足,国家安全局经常在他们的尾部加上新的后孔,中国的情报机构,和认真,他们活该。

如果你想成为一名开发人员,而且是非常好的一个。作为法国的一项主要工作,他们在这里的文化是完全借用的。工资与其他国家相比是非常低的,这些工作被认为是现代工厂工人,如果5年后你还没有离开开发领域,人们会奇怪地看着你(除了银行和一些招聘有国际经验、不使用/不考虑开发人员的部门,比如那些愚蠢的法国公司的90%)。

机器学习不会有帮助。不超过声纳棉目前所做的。因为项目很匆忙。因为安全性被认为是一个附加组件,所以在末尾添加,而不是“在每个步骤”。因为开发人员被排除在开发之外,因为它不被认为是真正的工作,你可以做你的一生。因为项目经理非常不称职,不听,和不在乎。

安全漏洞通常是指被利用为安全漏洞的bug,但首先是一个bug…因此,修复缺陷并避免它们是减少攻击暴露的表面。我见过的大多数安全漏洞都不是安全漏洞,但是简单的被利用的bug…所以正确的编码,工作前思考和倾听是很重要的。

我一直在代码中看到“要重做的临时内容”,而这些内容永远不会重做。像向一些应用程序添加一些“完全访问权限”这样的组装,因为它们需要做一些事情,而且构建得非常糟糕,如果您保留标准的权限/ACL管理,则无法找到解决方案,除了在生产中重写部分代码垃圾外,因为你必须重新测试所有东西。没有经验的人引入所有的时间错误/安全漏洞。

真是一团糟。随着时间的流逝,我们在电脑上放的东西越多。黑客们玩得越开心。每一次黑客攻击和数据窃取的破坏性和代价都将更大。等到我们在每家都有自动化汽车、自动化设备和摄像头/麦克风,黑客节才可以大规模开始。

发展是一项工作。一份全职工作,人们一生都需要这样做。获取经验。允许实验(比如谷歌让人们有20%的工作时间来实验一些东西,这些东西最终可能会成为下一个谷歌邮件,这是一个宠物项目……)像法国这样的一些国家是如此…脱离现实我认为对他们来说已经太迟了。他们的项目经理,人们是这样的…很蠢,他们很容易成为目标,除非你为了新一代的聪明人而解雇所有的白痴,他们完蛋了。

我写了一些被利用的垃圾代码。感谢需要交付日期的公司和IT经理,总是匆匆忙忙,不尊重职位,这份工作,的工艺,它需要的经验。我写的代码,没有单元测试,因为“我们没有时间”。没有文档,周围的临时代码将成为永久性的。

未来是暗淡的。对不起,这不会好起来的。其中有一个严重的文化问题和一个需要解决的技能/经验问题。有很多公司想让尽可能多的人参与编程,主要是为了降低工资,想要高薪的聪明人会离开这个领域,让它见鬼去吧,unexperienced,不适合人,事情只会变得更糟。

对于想要安全的聪明人来说,情况不会变得更糟。还有像罪犯这样的聪明人,他们付我两倍的工资让我为他们编写代码。而且几乎4000欧元每月编写漏洞和C2控制工具比我目前1900欧元的糟糕月薪更有趣。

猜猜谁的代码最好?刑事实体。他们支付,他们喜欢他们得到的。

留下你的评论188滚球网站

允许的HTML:

布鲁斯·施耐尔的照片。188滚球网站

188滚球网站施耐尔的安全是一个个人网站。表达的意见不一定是……的意见IBM有弹性