百度 All in AI 后，百度安全搞出了一個(gè) OASES 智能終端安全生態(tài)聯(lián)盟，并稱其為“國(guó)內(nèi)首個(gè)致力于 AI 時(shí)代提升智能終端生態(tài)安全的聯(lián)盟組織?！?/p>

其實(shí)，這個(gè)聯(lián)盟去年在百度內(nèi)部就已立項(xiàng)， 9 月初正式敲定，一直在等合適的時(shí)機(jī)發(fā)布。

百度安全事業(yè)部總經(jīng)理馬杰對(duì)雷鋒網(wǎng)說：“我們建立聯(lián)盟，不想說一個(gè)特別空的東西，最好有實(shí)際的東西，比如，拿代碼、專利這些給大家，而不是坐一塊說——好吧，我們合作，我們要干點(diǎn)什么?！?/p>

準(zhǔn)備

馬杰說的“不空”的東西，是指百度安全在聯(lián)盟正式宣布成立前做好的一系列的準(zhǔn)備。

第一，百度安全首席科學(xué)家、百度安全實(shí)驗(yàn)室負(fù)責(zé)人韋韜針對(duì)自適應(yīng)內(nèi)核漏洞熱修復(fù)技術(shù)，從 2016 年 5 月開始，在 2016 年中國(guó)網(wǎng)絡(luò)安全年會(huì)、XCon 2016、 BlackHat 2016、國(guó)際頂級(jí)安全學(xué)術(shù)會(huì)議 USENIX Security2017 上持續(xù)宣傳碎片化生態(tài)熱修復(fù)的重要性，并陸續(xù)發(fā)布其核心技術(shù)。

這項(xiàng)韋韜不遺余力推廣的新技術(shù)終于在 2017 年 10 月落地—— 10 月中旬，某低調(diào)的國(guó)產(chǎn)著名手機(jī)大廠發(fā)布的新產(chǎn)品就集成了百度的 OASES KARMA 自適應(yīng)內(nèi)核熱修復(fù)技術(shù)。

宅客頻道了解到，百度安全正在趁熱打鐵，推進(jìn)與中興和酷派等更多廠商的合作。

第二，今年 6 月，在Mosec上發(fā)布 OASP 移動(dòng)應(yīng)用簽名安全技術(shù)，并開始在百度全線移動(dòng)產(chǎn)品上應(yīng)用。

第三，今年10 月，推出 OpenRASP 自適應(yīng) Web 安全防護(hù)技術(shù)，目前正與著名安全組織 OWASP 聯(lián)手在全球推廣。

最后，百度安全向聯(lián)盟成員開放了這四項(xiàng)申請(qǐng)了專利的安全技術(shù)能力，包括：KARMA自適應(yīng)內(nèi)核漏洞熱修復(fù)技術(shù)、OASP 移動(dòng)應(yīng)用簽名安全方案、OpenRASP 自適應(yīng)Web安全防護(hù)技術(shù)和 MesaLink 內(nèi)存安全通信協(xié)議棧技術(shù)。

這里說的開放是真開放，百度安全把四項(xiàng)技術(shù)的代碼開源，而且專利與聯(lián)盟成員共享。

已推進(jìn)一年多

從技術(shù)推出到落地，再到規(guī)模性的合作，這顯然不是一次容易的任務(wù)。

仔細(xì)看百度安全此次對(duì)聯(lián)盟內(nèi)部開放的四項(xiàng)技術(shù)，就能找到“為何這么難”的答案。

在終端層面，首先要保證系統(tǒng)安全。因?yàn)橐坏┫到y(tǒng)被攻破，就等于給智能終端的安全來了個(gè)釜底抽薪，即便上層的應(yīng)用安全做得再好也是徒勞。但這恰恰是智能系統(tǒng)的“頑疾”。

以往的安全修復(fù)，需要系統(tǒng)廠商先打補(bǔ)丁、升級(jí)系統(tǒng)，終端廠商再進(jìn)行修復(fù)、版本升級(jí)，最后終端用戶升級(jí)智能終端的系統(tǒng)。這個(gè)修復(fù)鏈條非常長(zhǎng)，收斂的速度甚至長(zhǎng)達(dá)幾年。加之智能系統(tǒng)碎片化嚴(yán)重，市面上有 2 萬多種設(shè)備型號(hào)。

更要命的是，在這個(gè)過程中專業(yè)的安全企業(yè)是缺位的——智能終端廠商不可能組織一群安全研究人員專門發(fā)現(xiàn)及解決漏洞問題，即便是發(fā)現(xiàn)了高危漏洞也無從“插手”。

按照百度安全的說法，通過自適應(yīng)內(nèi)核漏洞熱修復(fù)技術(shù)，終端設(shè)備不用系統(tǒng)升級(jí)，就可以在不影響用戶體驗(yàn)的情況下，快速修復(fù)系統(tǒng)漏洞，避免被黑客惡意攻擊。 

以手機(jī)為例，如果安卓手機(jī)系統(tǒng)出現(xiàn)需要修補(bǔ)的 bug，以往的做法是，手機(jī)廠商推送 bug 需要修復(fù)的系統(tǒng)升級(jí)公告給用戶，用戶使用手機(jī)時(shí)需要點(diǎn)擊“同意”，修復(fù)升級(jí)，重啟手機(jī)。

一個(gè)小白用戶真的能意識(shí)到這個(gè) bug 是非修復(fù)不可的嗎？會(huì)不會(huì)很多人直接點(diǎn)擊了“稍后”，然后忘了這件事？根據(jù)百度安全實(shí)驗(yàn)室的統(tǒng)計(jì)，在業(yè)界做得最好的iOS也有超過40%的用戶長(zhǎng)期不能升級(jí)到最新版本。

漏洞及修補(bǔ)措施一經(jīng)發(fā)布，用戶若沒有及時(shí)反饋修復(fù)，便給攻擊者提供了絕佳的時(shí)間差和武器。

熱修復(fù)的主要優(yōu)勢(shì)說白了就是“不重啟打補(bǔ)丁”——熱修復(fù)補(bǔ)丁不會(huì)作為常規(guī)補(bǔ)丁隨系統(tǒng)自動(dòng)更新，不會(huì)中斷設(shè)備當(dāng)前運(yùn)行的業(yè)務(wù)，在不重啟設(shè)備的情況下，可對(duì)設(shè)備當(dāng)前軟件版本的缺陷進(jìn)行修復(fù)。

但是，關(guān)鍵點(diǎn)在于，這不是一個(gè) App 的修復(fù)，而是終端設(shè)備的系統(tǒng)層面的問題。讓別的安全廠商觸碰自家手機(jī)系統(tǒng)層面的 bug 修復(fù)，需要極高的信任度和不斷的磨合。

App 的熱修復(fù)一般通過事先設(shè)定的接口從網(wǎng)上下載無 bug 的代碼來替換有 bug 的代碼。雷鋒網(wǎng)了解到，百度安全與手機(jī)廠商的合作模式可能是類似的合作方法——手機(jī)廠商設(shè)定一個(gè)補(bǔ)丁庫，然后通過百度安全提供的接口，推送到用戶的手機(jī)上。至于什么時(shí)候推補(bǔ)丁、推什么、如何告知用戶，通通都是手機(jī)廠商說了算。

正如文前所說，為了進(jìn)一步建立雙方的信任，百度安全先把代碼開源了，明明白白地拿給你看。

韋韜說：“這次合作本身的難點(diǎn)在于，我們解決了一個(gè)非常難的問題，而且要在數(shù)十億用戶的市場(chǎng)上達(dá)到萬無一失——生態(tài)碎片化時(shí)代在我們之前沒有任何人能夠應(yīng)對(duì)這些漏洞的威脅，包括谷歌在內(nèi)。而我們的合作伙伴又都是大公司，產(chǎn)品版本非常多，要確保用戶體驗(yàn)不會(huì)受到影響?！?/p>

僅自適應(yīng)內(nèi)核漏洞熱修復(fù)技術(shù)的落地，百度安全就推了一年多。

百度安全也“AI ”

百度安全的目的不止于此，OASES 聯(lián)盟是打著“ AI ”的旗幟的。

11 月 6 日，百度總裁張亞勤與 AI 安全研究領(lǐng)域的學(xué)術(shù)大牛、加州大學(xué)伯克利分校計(jì)算機(jī)系教授 Dawn Song 為該聯(lián)盟成立站臺(tái)，聊了聊 AI 安全，隨后就是百度安全演示智能終端安全技術(shù)。

一個(gè)友商的安全研究員會(huì)后叫住了百度安全實(shí)驗(yàn)室的黃正：“你們這個(gè)活動(dòng)的主題是 AI ，但智能終端設(shè)備很‘AI’嗎？”

黃正答：“我不知道是不是很‘ AI ’，但 AI 安全講得這么多，大家真的理解嗎？我覺得未來 AI 安全的落地應(yīng)該是在智能終端上， 我們把事情拿到前面做了。”

百度安全的官方說法是，AI 的安全既包含傳統(tǒng)安全層面，比如 AI 系統(tǒng)的硬件、軟件、框架、協(xié)議等，也包含 AI 自身層面的安全，比如錯(cuò)誤地引導(dǎo)機(jī)器學(xué)習(xí)系統(tǒng)，以達(dá)到攻擊者的目的，或者破壞機(jī)器學(xué)習(xí)的樣本，讓機(jī)器學(xué)習(xí)得出錯(cuò)誤的結(jié)果。

百度安全向 OASES 聯(lián)盟成員開放了其在 AI 生態(tài)上的多項(xiàng)安全能力，是希望在智能終端領(lǐng)域，通過專利共享、技術(shù)開源、標(biāo)準(zhǔn)共建，與聯(lián)盟合作伙伴共同推動(dòng)安全技術(shù)與服務(wù)的應(yīng)用落地，共建安全的 AI 時(shí)代。 

此外，百度安全開放的四項(xiàng)技術(shù)能力，雖然針對(duì)的是智能終端，但包含了“云、管、端”的各個(gè)環(huán)節(jié)。

比如，除了自適應(yīng)內(nèi)核漏洞熱修復(fù)技術(shù)，還有針對(duì)應(yīng)用安全的 OASP 應(yīng)用簽名安全方案，還有針對(duì)傳輸層的下一代可配置嵌入式安全通信協(xié)議棧 MesaLink，在語言層面提供內(nèi)存安全保障，算法層面提供后量子密碼對(duì)抗能力，以及針對(duì)云端安全的 OpenRASP 開源自適應(yīng)安全解決方案，保護(hù)引擎集成在了應(yīng)用內(nèi)部，可以直接跳過紛繁復(fù)雜的應(yīng)用協(xié)議解析，直接在應(yīng)用脆弱環(huán)節(jié)檢測(cè)、抵抗攻擊。

韋韜對(duì)后量子密碼對(duì)抗能力進(jìn)行了解釋：“量子計(jì)算里有一種算法叫做 Shor 量子算法，可對(duì) RSA 或 DSA 這些算法產(chǎn)生可怕的影響——可以在多項(xiàng)式時(shí)間內(nèi)求解大整數(shù)分解問題和離散對(duì)數(shù)問題。在量子計(jì)算發(fā)展成熟后，RSA 和 DSA 、ECDSA 這些傳統(tǒng)公鑰算法在理論上都不安全了?！?/p>

這意味著，整個(gè)公鑰體系將全線崩潰。對(duì)銀行業(yè)而言，更是噩夢(mèng)。不管銀行的證書藏得多么好，比如藏在 U 盾里，但公鑰是公開的，攻擊者可以通過公鑰計(jì)算出私鑰讓整個(gè)證書系統(tǒng)徹底崩潰，這種就是可被量子攻擊的狀態(tài)。而后量子密碼體系不受 Shor 量子算法影響，即使量子計(jì)算機(jī)實(shí)用化以后，依然提供安全的服務(wù)。

AI 安全涉及的技術(shù)相當(dāng)前沿，為了后續(xù)推出更過 AI 安全技術(shù)，該聯(lián)盟吸納了許多高校學(xué)術(shù)大牛，如清華大學(xué)、復(fù)旦大學(xué)、中國(guó)科學(xué)院、上海交通大學(xué)、佛羅里達(dá)州立大學(xué)等中外頂尖院校的一線專家學(xué)者。

另外，聯(lián)盟還有安全廠商犇眾信息（內(nèi)置業(yè)內(nèi)著名的盤古團(tuán)隊(duì)）、Keen公司（著名的 GeekPwn 極棒黑客大賽主辦方）、NewSky Security（青天科技，主攻物聯(lián)網(wǎng)設(shè)備安全）、騰御安（TYA，Linux 內(nèi)核安全專家團(tuán)隊(duì)）等攻防能力特別強(qiáng)的技術(shù)團(tuán)隊(duì)。

馬杰稱，學(xué)術(shù)伙伴看前沿，這些團(tuán)隊(duì)則是來一起解決當(dāng)下的現(xiàn)實(shí)安全問題的。

谷歌做不到的事情，我們來做

涉及到安卓系統(tǒng)的問題，最終可能會(huì)落到谷歌身上。

但問題是，為什么谷歌沒有做這件事情？

韋韜認(rèn)為，安卓其實(shí)是一個(gè)開放平臺(tái)，但谷歌只對(duì)參加它的 CTS（兼容性）測(cè)試、獲得安卓商標(biāo)授權(quán)的廠家負(fù)責(zé)。谷歌的要求是——你必須跟我跑，你必須跟上安卓新版本發(fā)展的速度。但后來各家實(shí)在做不到，就有所放松了。況且，還有大量用安卓的智能終端廠家不在 CTS 里。

馬杰稱，谷歌的解決方案在傳統(tǒng)移動(dòng)行業(yè)推進(jìn)盡快升級(jí)是正確的，但這個(gè)正確的方案落到智能終端這個(gè)產(chǎn)業(yè)時(shí)，產(chǎn)業(yè)鏈太長(zhǎng)了。

雷鋒網(wǎng)了解到，從硬件廠商，到谷歌，到手機(jī)廠商，再到運(yùn)營(yíng)商。每一個(gè)環(huán)節(jié)都有自己的開發(fā)、質(zhì)控、驗(yàn)證等復(fù)雜流程，有時(shí)候還會(huì)相互沖突。這樣要消耗大量的時(shí)間和人力，而且有時(shí)甚至導(dǎo)致安全補(bǔ)丁無法下發(fā)給用戶。

今年 10 月中旬，超過 40% 的安卓設(shè)備被報(bào)告受到了 Wi-Fi 漏洞“KRACK”的影響，與谷歌有合作關(guān)系的廠商在10月16日拿到了谷歌發(fā)過來的補(bǔ)丁，但谷歌在 11 月 7 日才對(duì)外公開發(fā)布這個(gè)補(bǔ)丁。

安卓設(shè)備機(jī)型眾多，谷歌方面表示，只會(huì)針對(duì) Nexus 和 Pixel 設(shè)備進(jìn)行適配，其它品牌的手機(jī)可以通過第三方手機(jī)廠商推送的補(bǔ)丁解決該問題，因此只是時(shí)間問題。

但恰恰是這個(gè)“時(shí)間”差，有時(shí)能讓攻擊者發(fā)起致命一擊。

百度安全此次發(fā)起聯(lián)盟并促成第一項(xiàng)自適應(yīng)內(nèi)核漏洞熱修復(fù)技術(shù)落地，實(shí)際發(fā)出了一種聲音：谷歌做不到的事情，我們來做。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。