Nullsec-S1 推出面向 AI 构建应用的开源安全大模型

Nullsec 已宣布推出 Nullsec-S1，一款开源安全大模型（LLM），旨在在AI生成的应用、自治代理和振动编码软件进入生产之前进行审查。

此次发布正值软件开发进入新阶段。曾经需要工程师团队、漫长开发周期和多重审查阶段的应用，现在可以通过提示、推文或自治代理工作流程生成。这一转变降低了构建软件的门槛，但也带来了新的安全挑战：漏洞现在可以与应用程序的速度同步被创建。

Nullsec-S1 的开发旨在应对这一新兴风险。该大模型旨在识别AI生成软件中常见的安全问题，包括认证失败、授权不安全、秘密泄露、管理员路由暴露、命令注入、SSRF、XSS、不安全的文件上传、MCP工具滥用、危险的代理权限、依赖风险以及不安全的钱包或Web3交易逻辑。

与通常优化以生成可用软件的通用代码模型不同，Nullsec-S1 专注于安全推理。其目的不仅仅是判断代码是否能运行，而是评估在恶意输入、不当访问、权限薄弱或实际生产环境条件下可能出现的失败点。

Nullsec-S1 基于Qwen模型系列，并使用QLoRA进行微调，使团队能够在不从零训练新模型的情况下，将强大的开源基础模型专门用于安全审查。这一方法反映了开源AI中的更广泛趋势，即较小的团队可以为高度特定的技术用例调整强大的基础模型。

Nullsec-S1的一个关键部分是其结构化的安全审查流程。AI生成的软件通过多个层次进行分析，包括静态风险模式检测、语义安全推理、安全代码校准和确定性执行。系统设计旨在返回结构化的发现，包括严重程度、证据、利用路径、修补指南、风险评分和生产就绪信号。

Nullsec 还强调，Nullsec-S1 不仅仅是一个LLM调用。微调模型提出结构化的裁决，但该裁决会经过一个确定性安全层验证，该层验证输出结构、应用严格的安全规则、重新计算风险信号，并防止存在关键问题的代码被标记为生产就绪。

这种双层方法旨在减少对未验证模型判断的依赖。在安全领域，幻觉、遗漏的上下文或被操控的输入可能导致严重后果，将基于LLM的推理与确定性执行相结合，创造出更严格、更可靠的审查流程。

Nullsec-S1的推出反映了软件安全的更广泛转变。随着AI生成的应用和自治代理变得更加普遍，安全不能再仅仅停留在开发周期的末端。它必须更接近生成点，在软件创建的过程中进行审查，而不是仅在部署后。

Nullsec 将 Nullsec-S1 定位为构建AI生成互联网安全层的第一步。这款开源大模型面向开发者、安全团队、AI构建者和代理基础设施项目，帮助他们在软件到达用户、钱包、数据库、API或生产环境之前进行审查。

随着AI持续加速软件创建，问题不再仅仅是应用能多快被构建。更重要的问题是，它们是否值得信赖。

Nullsec-S1正是为这个问题而生。