百度 All in AI 后，百度安全搞出了一個 OASES 智能終端安全生態(tài)聯(lián)盟，并稱其為“國內(nèi)首個致力于 AI 時代提升智能終端生態(tài)安全的聯(lián)盟組織?！?/p>

其實，這個聯(lián)盟去年在百度內(nèi)部就已立項， 9 月初正式敲定，一直在等合適的時機發(fā)布。

百度安全事業(yè)部總經(jīng)理馬杰對雷鋒網(wǎng)說：“我們建立聯(lián)盟，不想說一個特別空的東西，最好有實際的東西，比如，拿代碼、專利這些給大家，而不是坐一塊說——好吧，我們合作，我們要干點什么。”

準(zhǔn)備

馬杰說的“不空”的東西，是指百度安全在聯(lián)盟正式宣布成立前做好的一系列的準(zhǔn)備。

第一，百度安全首席科學(xué)家、百度安全實驗室負(fù)責(zé)人韋韜針對自適應(yīng)內(nèi)核漏洞熱修復(fù)技術(shù)，從 2016 年 5 月開始，在 2016 年中國網(wǎng)絡(luò)安全年會、XCon 2016、 BlackHat 2016、國際頂級安全學(xué)術(shù)會議 USENIX Security2017 上持續(xù)宣傳碎片化生態(tài)熱修復(fù)的重要性，并陸續(xù)發(fā)布其核心技術(shù)。

這項韋韜不遺余力推廣的新技術(shù)終于在 2017 年 10 月落地—— 10 月中旬，某低調(diào)的國產(chǎn)著名手機大廠發(fā)布的新產(chǎn)品就集成了百度的 OASES KARMA 自適應(yīng)內(nèi)核熱修復(fù)技術(shù)。

宅客頻道了解到，百度安全正在趁熱打鐵，推進與中興和酷派等更多廠商的合作。

第二，今年 6 月，在Mosec上發(fā)布 OASP 移動應(yīng)用簽名安全技術(shù)，并開始在百度全線移動產(chǎn)品上應(yīng)用。

第三，今年10 月，推出 OpenRASP 自適應(yīng) Web 安全防護技術(shù)，目前正與著名安全組織 OWASP 聯(lián)手在全球推廣。

最后，百度安全向聯(lián)盟成員開放了這四項申請了專利的安全技術(shù)能力，包括：KARMA自適應(yīng)內(nèi)核漏洞熱修復(fù)技術(shù)、OASP 移動應(yīng)用簽名安全方案、OpenRASP 自適應(yīng)Web安全防護技術(shù)和 MesaLink 內(nèi)存安全通信協(xié)議棧技術(shù)。

這里說的開放是真開放，百度安全把四項技術(shù)的代碼開源，而且專利與聯(lián)盟成員共享。

已推進一年多

從技術(shù)推出到落地，再到規(guī)模性的合作，這顯然不是一次容易的任務(wù)。

仔細看百度安全此次對聯(lián)盟內(nèi)部開放的四項技術(shù)，就能找到“為何這么難”的答案。

在終端層面，首先要保證系統(tǒng)安全。因為一旦系統(tǒng)被攻破，就等于給智能終端的安全來了個釜底抽薪，即便上層的應(yīng)用安全做得再好也是徒勞。但這恰恰是智能系統(tǒng)的“頑疾”。

以往的安全修復(fù)，需要系統(tǒng)廠商先打補丁、升級系統(tǒng)，終端廠商再進行修復(fù)、版本升級，最后終端用戶升級智能終端的系統(tǒng)。這個修復(fù)鏈條非常長，收斂的速度甚至長達幾年。加之智能系統(tǒng)碎片化嚴(yán)重，市面上有 2 萬多種設(shè)備型號。

更要命的是，在這個過程中專業(yè)的安全企業(yè)是缺位的——智能終端廠商不可能組織一群安全研究人員專門發(fā)現(xiàn)及解決漏洞問題，即便是發(fā)現(xiàn)了高危漏洞也無從“插手”。

按照百度安全的說法，通過自適應(yīng)內(nèi)核漏洞熱修復(fù)技術(shù)，終端設(shè)備不用系統(tǒng)升級，就可以在不影響用戶體驗的情況下，快速修復(fù)系統(tǒng)漏洞，避免被黑客惡意攻擊。 

以手機為例，如果安卓手機系統(tǒng)出現(xiàn)需要修補的 bug，以往的做法是，手機廠商推送 bug 需要修復(fù)的系統(tǒng)升級公告給用戶，用戶使用手機時需要點擊“同意”，修復(fù)升級，重啟手機。

一個小白用戶真的能意識到這個 bug 是非修復(fù)不可的嗎？會不會很多人直接點擊了“稍后”，然后忘了這件事？根據(jù)百度安全實驗室的統(tǒng)計，在業(yè)界做得最好的iOS也有超過40%的用戶長期不能升級到最新版本。

漏洞及修補措施一經(jīng)發(fā)布，用戶若沒有及時反饋修復(fù)，便給攻擊者提供了絕佳的時間差和武器。

熱修復(fù)的主要優(yōu)勢說白了就是“不重啟打補丁”——熱修復(fù)補丁不會作為常規(guī)補丁隨系統(tǒng)自動更新，不會中斷設(shè)備當(dāng)前運行的業(yè)務(wù)，在不重啟設(shè)備的情況下，可對設(shè)備當(dāng)前軟件版本的缺陷進行修復(fù)。

但是，關(guān)鍵點在于，這不是一個 App 的修復(fù)，而是終端設(shè)備的系統(tǒng)層面的問題。讓別的安全廠商觸碰自家手機系統(tǒng)層面的 bug 修復(fù)，需要極高的信任度和不斷的磨合。

App 的熱修復(fù)一般通過事先設(shè)定的接口從網(wǎng)上下載無 bug 的代碼來替換有 bug 的代碼。雷鋒網(wǎng)了解到，百度安全與手機廠商的合作模式可能是類似的合作方法——手機廠商設(shè)定一個補丁庫，然后通過百度安全提供的接口，推送到用戶的手機上。至于什么時候推補丁、推什么、如何告知用戶，通通都是手機廠商說了算。

正如文前所說，為了進一步建立雙方的信任，百度安全先把代碼開源了，明明白白地拿給你看。

韋韜說：“這次合作本身的難點在于，我們解決了一個非常難的問題，而且要在數(shù)十億用戶的市場上達到萬無一失——生態(tài)碎片化時代在我們之前沒有任何人能夠應(yīng)對這些漏洞的威脅，包括谷歌在內(nèi)。而我們的合作伙伴又都是大公司，產(chǎn)品版本非常多，要確保用戶體驗不會受到影響。”

僅自適應(yīng)內(nèi)核漏洞熱修復(fù)技術(shù)的落地，百度安全就推了一年多。

百度安全也“AI ”

百度安全的目的不止于此，OASES 聯(lián)盟是打著“ AI ”的旗幟的。

11 月 6 日，百度總裁張亞勤與 AI 安全研究領(lǐng)域的學(xué)術(shù)大牛、加州大學(xué)伯克利分校計算機系教授 Dawn Song 為該聯(lián)盟成立站臺，聊了聊 AI 安全，隨后就是百度安全演示智能終端安全技術(shù)。

一個友商的安全研究員會后叫住了百度安全實驗室的黃正：“你們這個活動的主題是 AI ，但智能終端設(shè)備很‘AI’嗎？”

黃正答：“我不知道是不是很‘ AI ’，但 AI 安全講得這么多，大家真的理解嗎？我覺得未來 AI 安全的落地應(yīng)該是在智能終端上， 我們把事情拿到前面做了。”

百度安全的官方說法是，AI 的安全既包含傳統(tǒng)安全層面，比如 AI 系統(tǒng)的硬件、軟件、框架、協(xié)議等，也包含 AI 自身層面的安全，比如錯誤地引導(dǎo)機器學(xué)習(xí)系統(tǒng)，以達到攻擊者的目的，或者破壞機器學(xué)習(xí)的樣本，讓機器學(xué)習(xí)得出錯誤的結(jié)果。

百度安全向 OASES 聯(lián)盟成員開放了其在 AI 生態(tài)上的多項安全能力，是希望在智能終端領(lǐng)域，通過專利共享、技術(shù)開源、標(biāo)準(zhǔn)共建，與聯(lián)盟合作伙伴共同推動安全技術(shù)與服務(wù)的應(yīng)用落地，共建安全的 AI 時代。 

此外，百度安全開放的四項技術(shù)能力，雖然針對的是智能終端，但包含了“云、管、端”的各個環(huán)節(jié)。

比如，除了自適應(yīng)內(nèi)核漏洞熱修復(fù)技術(shù)，還有針對應(yīng)用安全的 OASP 應(yīng)用簽名安全方案，還有針對傳輸層的下一代可配置嵌入式安全通信協(xié)議棧 MesaLink，在語言層面提供內(nèi)存安全保障，算法層面提供后量子密碼對抗能力，以及針對云端安全的 OpenRASP 開源自適應(yīng)安全解決方案，保護引擎集成在了應(yīng)用內(nèi)部，可以直接跳過紛繁復(fù)雜的應(yīng)用協(xié)議解析，直接在應(yīng)用脆弱環(huán)節(jié)檢測、抵抗攻擊。

韋韜對后量子密碼對抗能力進行了解釋：“量子計算里有一種算法叫做 Shor 量子算法，可對 RSA 或 DSA 這些算法產(chǎn)生可怕的影響——可以在多項式時間內(nèi)求解大整數(shù)分解問題和離散對數(shù)問題。在量子計算發(fā)展成熟后，RSA 和 DSA 、ECDSA 這些傳統(tǒng)公鑰算法在理論上都不安全了。”

這意味著，整個公鑰體系將全線崩潰。對銀行業(yè)而言，更是噩夢。不管銀行的證書藏得多么好，比如藏在 U 盾里，但公鑰是公開的，攻擊者可以通過公鑰計算出私鑰讓整個證書系統(tǒng)徹底崩潰，這種就是可被量子攻擊的狀態(tài)。而后量子密碼體系不受 Shor 量子算法影響，即使量子計算機實用化以后，依然提供安全的服務(wù)。

AI 安全涉及的技術(shù)相當(dāng)前沿，為了后續(xù)推出更過 AI 安全技術(shù)，該聯(lián)盟吸納了許多高校學(xué)術(shù)大牛，如清華大學(xué)、復(fù)旦大學(xué)、中國科學(xué)院、上海交通大學(xué)、佛羅里達州立大學(xué)等中外頂尖院校的一線專家學(xué)者。

另外，聯(lián)盟還有安全廠商犇眾信息（內(nèi)置業(yè)內(nèi)著名的盤古團隊）、Keen公司（著名的 GeekPwn 極棒黑客大賽主辦方）、NewSky Security（青天科技，主攻物聯(lián)網(wǎng)設(shè)備安全）、騰御安（TYA，Linux 內(nèi)核安全專家團隊）等攻防能力特別強的技術(shù)團隊。

馬杰稱，學(xué)術(shù)伙伴看前沿，這些團隊則是來一起解決當(dāng)下的現(xiàn)實安全問題的。

谷歌做不到的事情，我們來做

涉及到安卓系統(tǒng)的問題，最終可能會落到谷歌身上。

但問題是，為什么谷歌沒有做這件事情？

韋韜認(rèn)為，安卓其實是一個開放平臺，但谷歌只對參加它的 CTS（兼容性）測試、獲得安卓商標(biāo)授權(quán)的廠家負(fù)責(zé)。谷歌的要求是——你必須跟我跑，你必須跟上安卓新版本發(fā)展的速度。但后來各家實在做不到，就有所放松了。況且，還有大量用安卓的智能終端廠家不在 CTS 里。

馬杰稱，谷歌的解決方案在傳統(tǒng)移動行業(yè)推進盡快升級是正確的，但這個正確的方案落到智能終端這個產(chǎn)業(yè)時，產(chǎn)業(yè)鏈太長了。

雷鋒網(wǎng)了解到，從硬件廠商，到谷歌，到手機廠商，再到運營商。每一個環(huán)節(jié)都有自己的開發(fā)、質(zhì)控、驗證等復(fù)雜流程，有時候還會相互沖突。這樣要消耗大量的時間和人力，而且有時甚至導(dǎo)致安全補丁無法下發(fā)給用戶。

今年 10 月中旬，超過 40% 的安卓設(shè)備被報告受到了 Wi-Fi 漏洞“KRACK”的影響，與谷歌有合作關(guān)系的廠商在10月16日拿到了谷歌發(fā)過來的補丁，但谷歌在 11 月 7 日才對外公開發(fā)布這個補丁。

安卓設(shè)備機型眾多，谷歌方面表示，只會針對 Nexus 和 Pixel 設(shè)備進行適配，其它品牌的手機可以通過第三方手機廠商推送的補丁解決該問題，因此只是時間問題。

但恰恰是這個“時間”差，有時能讓攻擊者發(fā)起致命一擊。

百度安全此次發(fā)起聯(lián)盟并促成第一項自適應(yīng)內(nèi)核漏洞熱修復(fù)技術(shù)落地，實際發(fā)出了一種聲音：谷歌做不到的事情，我們來做。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。