Nullsec-S1 Ra mắt Mô hình Ngôn ngữ Bảo mật Mã nguồn mở cho Ứng dụng xây dựng bằng AI

Nullsec đã công bố ra mắt Nullsec-S1, một mô hình LLM bảo mật mã nguồn mở được thiết kế để xem xét các ứng dụng do AI tạo ra, các tác nhân tự hành, và phần mềm vibecoded trước khi chúng đến giai đoạn sản xuất.

Việc ra mắt diễn ra trong bối cảnh phát triển phần mềm đang bước vào một giai đoạn mới. Các ứng dụng từng yêu cầu đội ngũ kỹ sư, chu kỳ phát triển dài và nhiều giai đoạn xem xét có thể nay đã được tạo ra từ các lệnh gọi, tweet hoặc quy trình làm việc của tác nhân tự hành. Sự chuyển đổi này hạ thấp rào cản trong việc xây dựng phần mềm, nhưng cũng đặt ra một thách thức bảo mật mới: các lỗ hổng có thể được tạo ra với tốc độ tương đương với ứng dụng.

Nullsec-S1 được phát triển để đối phó với rủi ro mới nổi này. Mô hình LLM được xây dựng để xác định các vấn đề bảo mật thường xuất hiện trong phần mềm do AI tạo ra, bao gồm xác thực bị lỗi, quyền hạn không an toàn, bí mật bị lộ, các tuyến đường quản trị mở, chèn lệnh, SSRF, XSS, tải lên tệp không an toàn, lạm dụng công cụ MCP, quyền tác nhân nguy hiểm, rủi ro phụ thuộc, và logic giao dịch ví hoặc Web3 không an toàn.

Khác với các mô hình mã nguồn chung thường tối ưu để tạo ra phần mềm hoạt động, Nullsec-S1 tập trung vào lý luận bảo mật. Mục đích của nó không chỉ đơn thuần xác định xem mã có chạy được hay không, mà còn đánh giá nơi có thể thất bại dưới tác động của đầu vào độc hại, truy cập không hợp lệ, quyền hạn yếu hoặc điều kiện thực tế trong sản xuất.

Nullsec-S1 dựa trên dòng họ mô hình Qwen và được tinh chỉnh bằng QLoRA, cho phép nhóm tùy biến một mô hình nền mã nguồn mở mạnh mẽ cho mục đích xem xét tập trung vào bảo mật mà không cần huấn luyện một mô hình mới từ đầu. Phương pháp này phản ánh xu hướng rộng hơn trong AI mã nguồn mở, nơi các nhóm nhỏ có thể thích nghi các mô hình nền mạnh mẽ cho các trường hợp kỹ thuật đặc thù cao.

Một phần quan trọng của Nullsec-S1 là quy trình xem xét bảo mật có cấu trúc. Phần mềm do AI tạo ra được phân tích qua nhiều lớp, bao gồm phát hiện mẫu rủi ro tĩnh, lý luận bảo mật dựa trên ngữ nghĩa, hiệu chỉnh mã an toàn, và thực thi xác định. Hệ thống được thiết kế để trả về các phát hiện có cấu trúc kèm theo mức độ nghiêm trọng, bằng chứng, đường dẫn khai thác, hướng dẫn vá lỗi, điểm số rủi ro và tín hiệu sẵn sàng cho sản xuất.

Nullsec cũng nhấn mạnh rằng Nullsec-S1 không chỉ là một cuộc gọi LLM. Mô hình đã tinh chỉnh đề xuất một phán quyết có cấu trúc, nhưng phán quyết đó sẽ đi qua một lớp an toàn xác định, xác nhận sơ đồ đầu ra, áp dụng các quy tắc bảo mật cứng, tính toán lại các tín hiệu rủi ro, và ngăn chặn mã không an toàn được đánh dấu là sẵn sàng cho sản xuất khi còn các vấn đề nghiêm trọng.

Cách tiếp cận hai lớp này nhằm giảm phụ thuộc vào phán đoán không kiểm chứng của mô hình. Trong bảo mật, nơi các hiện tượng ảo tưởng, bỏ sót ngữ cảnh hoặc đầu vào bị thao túng có thể dẫn đến hậu quả nghiêm trọng, việc kết hợp lý luận dựa trên LLM với thực thi xác định tạo ra một quy trình xem xét chặt chẽ và đáng tin cậy hơn.

Việc ra mắt Nullsec-S1 phản ánh xu hướng rộng hơn trong bảo mật phần mềm. Khi các ứng dụng do AI tạo ra và các tác nhân tự hành ngày càng phổ biến, bảo mật không thể chỉ dừng lại ở cuối chu kỳ phát triển. Nó phải tiến gần hơn đến điểm tạo ra, xem xét phần mềm trong quá trình tạo ra thay vì chỉ sau khi đã triển khai.

Nullsec định vị Nullsec-S1 như một bước đi đầu tiên hướng tới xây dựng lớp bảo mật cho internet do AI tạo ra. Mô hình LLM mã nguồn mở này hướng tới các nhà phát triển, nhóm bảo mật, nhà xây dựng AI, và các dự án hạ tầng tác nhân cần xem xét phần mềm được tạo ra trước khi đến tay người dùng, ví, cơ sở dữ liệu, API hoặc môi trường sản xuất.

Khi AI tiếp tục thúc đẩy nhanh quá trình tạo phần mềm, câu hỏi không còn chỉ là làm thế nào để xây dựng ứng dụng nhanh chóng nữa. Câu hỏi quan trọng hơn là liệu chúng có thể đáng tin cậy hay không.

Nullsec-S1 được xây dựng cho câu hỏi đó.