0x1本周话题TOP3
话题1:可以对安全行业有哪些提升?威胁情报分析?协助内部安全运营决策效率?
A1:我感觉这些事情他都做不了,大概也就是写个文字报告,ppt估计都做不了。他目前只是一个对话机器人,用的也是语言模型,需要的也是大量语料输入。之所以引起那么多关注,因为在此之前AI都没有被大众普遍关注过,有认知上的Gap,一下子出来个好玩的东西,吸引了眼球。
A2:不是哦,你去试用下就知道了,我用了一段时间,真的很强大,不是传统意义上的机器人。对于自然语言的理解,秒杀国内所有对话机器人。但对内容安全和知识社区类的审核挑战比较大的,所以国内很快把禁掉了,怕你瞎问。
A3:威胁情分析或者内容审核之类的可以辅助。但是要理解国情,个人情感注入还是待加强。
A4:国情特色,想用还是fq吧,而且现在chat gpt不对中国大陆和香港地区提供服务,还得找非香港地区的ip才能用。现在微软开始用gpt了,但不是用问答方式。我觉得gpt真的会颠覆搜索引擎的,谷歌已经开始慌了。
A5:我找个用gpt写的文章,通过问问题写出来的。《云计算的成本与价值》
》
A6:不知道后面是什么架构和模型,但以我对NLP的理解,这个不难,只是工程实现的问题,做和不做的问题。我相信以谷歌的能力,也能做得出。单就这个例子而言,我依然觉得是认知GAP的原因,就是你以前没想到机器居然能干出这个事情来,现在有人做到了,你会觉得很颠覆,想表达的是这个意思。当然,也可能是我认知不到位,我再去研究研究。
A7:这个和nlp有关系,但不是全部关系。《云计算的成本与价值》文章是一个非云计算的人问了10个问题组成的文章。基本上,以前并没有这个可能性。gpt能做的东西太多太多了。微软teams已经开始接入提供服务了。
Teams the , Large by ’s GPT-3.5, to make more , , and — it’s one-on-one, large , , or .With recap in Teams , you’ll get notes, tasks, and to help you get the most to you, even if you miss the .
A8:看美国的互联网公司做的,space x火箭回收,人工智能,都是利用科技进行颠覆性的创新,再看看我们国内互联网公司做的,都是想着怎么样利用科技最大化自己的利益,搞垄断,比如那个什么互联网买菜,非要跟卖菜的小商小贩抢生意,断底层人活路。
Q:可以进一步探讨下造成这种差距的原因?
A9:差距是有,但我们也是不断在创新的。类似互联网买菜,我觉得是国外环境不同,资本逐利的,要是他们和中国一样的环境,可能比我们更狠….
A10:、tesla 应该属于制造业企业,所以问题能否变成为啥国内制造业企业先进性不够呢?特斯拉这种倒还行,open AI的想象力太大了。
A11:在美国,也在讨论为啥是 做出这种突破,各家大厂离得甚至很远。这种级别的突破,其实是国家前沿科研创新能力的比拼,不是公司层面的事情了。
A12:Open AI面前就像是个笑话。
A13:因为商业前景不明朗?即使是当前的gpt,盈利能力也不太明确,国内大厂也好,谷歌也好,都有机器人,但都没有这种级别的应用,可能是根本没想到要用来干嘛。
A14:所以,我觉得要有颠覆性的创新突破,国家层面的引导是必须的,从创新文化建立,人才引进,资金支持,政策支持等方面进行支持。但是国内得科研环境其实还是有很多需要改善的地方,留不住人影响还是很大。
A15:我倒觉得科研不非得在“学”,也是微软第三代老板带着一群打工人搞起来的(第二代老板在做手机,搞全家桶,第三代在拥抱变化)
A16:这真不是。有一个成功原因是资本对偏执天才的认可和支持,对这个世界有自己强烈主张的天才型人物(CEO/CTO/chief )。
A17:不是说这些虚的,而是gpt带来的中美差距拉大,甚至某种意义来说,比火箭回收都大的多。gpt令社会效率极大提高,它目前几乎是个全领域的高三到大一水平的高速助理。本来中国的高端人才能力就不行,纯靠人多和愿意加班等输出的结果去累积成功,从而去追美国。
现在好了,美国搞个gpt,令到这种偏中低端思考,努力和人员规模带来的优势不复存在。gpt是全领域的数字助理,使得之前说的公民式开发,数字自助分析等提高社会普遍效率的事情忽然走到眼前,而最悲催的是中国还跟不了,因为硬件也支撑不上,gpt现在应用使得硅谷都在抢a100,而国内并没有这个硬件基础,最终导致即使有同样的gpt技术,中国的成本可能都是别人的七八倍,甚至10倍(参看以前的人用显卡挖,后面的人用矿机挖)。
所以很有可能变成以后大部分人都是站在巨人(大学基础水平上)做相对高效的事情,而国内还在低效努力。
A18:成本不是最大的问题,现在不再开源了,国内ai需要真正自主创新了,不能再基于国外开源模型穿皇帝新衣发发文章、打打比赛就宣称处于世界前沿了。
A19:所以如何留住科技人才对一个国家未来的科技创新真的太重要了,我觉得中国几千年来对科技人才一直是忽视的,5000年来在科技发展上几乎是一片荒漠,搞科技的在古代被视为奇技淫巧,现代社会有所改观,但是科技人员整体地位依然低下,这也是整体科技创新弱于西方国家的一个重要原因。
A20:成本只是个客气一点的描述,就像人工犁地和拖拉机的区别,也是成本差别,但实际是个代差。
A21:整体环境文化自由程度都是对最顶尖科学人才有很大的吸引力,访问一下都要想办法,一些富人都跑路了,顶尖人才也不会想留在这,开放的环境早期时候搞过一段时间,现在感觉越来越严控。
A22:很明显,我们是公有制为主体,私有制的民营企业起到补充作用,民营企业能做好买菜就不错了,这也是很伟大的创新。
A23:公有制为主体,多种所有制经济共同发展。非创新性太高要求的工作以后都会被ai替代,甚至画画这种被认为艺术类的也可以 ——只要使用者能正确描述需求。
A24:来钱快,资本投资逐利变现。底层基础研究十几年没成果。大环境不一样
他们不也是资本逐利么,商业行为。感觉看老板,比如华为、大疆啊那种。
A25: 能成功恰恰是资本逐利的结果,承诺 100 倍回报+微软合作(对抗 + 代金券)
A26:会不会以后有一波人专门针对gpt这种类似的ai进行有针对性的投毒攻击?包括对某些特定领域的问题,误导或者变相的监控等等。这个又涉及到ai的对抗。
A27:这个是必然,但这个以后就不叫投毒,叫GPT SEO。
A28:短期内,一个100分可能会赢,但是长时间来看,还是一群80分会赢。而且能做好90分,相信大多数会努力做好100分,至于真正的结果,那就让结果决定好了。
A29:这句话让我想起李小龙的那句“我不怕练一万招的人,只怕把一招练一万遍的人!
A30:尽人事 听天命;不惑道路曲折,坚信前途光明。
A31:希腊精神和咱的中庸精神是有区别的。摘段艺术家的思考:雅典曾被克里特(Crete)战败,战败后约定每年必须供七男七女给一牛头人身之妖吃掉,妖名弥诺陶洛斯(),专吃少男少女,作恶多端。克里特人以为事出神命,不敢加害弥诺陶洛斯,只能消极限制巨怪,故请建筑师代达罗斯()为他造一座迷楼。迷楼精巧,巨怪一进去就出不来,但建筑师代达罗斯自己进去后,也出不来了。其子伊卡洛斯(),聪明勇敢,同盖迷楼,与父同迷,数昼夜,不得出。以草图相对也无效。伊卡洛斯对父亲说,唯飞出。于是找鹰的羽毛,以蜡合成,附身,试飞成功,终飞出。父亲嘱咐:儿子,勿飞高,为太阳光熔;勿飞低,为海所淹没;中间层飞,最好。(中国中庸之道)儿不听,直飞太阳,日光熔蜡,翅脱,伊卡洛斯落海,死,成伊卡洛斯海()。
个人看来:弥诺陶洛斯,象征欲望。建筑师代达罗斯,即制造迷楼者,象征制定伦理、制度、道德、条例者。迷楼,象征社会,监囚人,人不得出,包括婚姻、法律、契约。在社会中…建筑师也出不来,作法自毙。唯一的办法是飞。飞出迷楼。艺术家,天才,就是要飞。然而飞高,狂而死。青年艺术家不懂,像伊卡洛斯,飞高而死,他的父亲是老艺术家,懂。伊卡洛斯的性格,宁可飞高,宁可摔死。一定要飞出迷楼,靠艺术的翅膀。宁可摔死。欲望,是要关起来,现代迷楼,更难飞出,需要更大的翅膀。
什么叫金融创新,就是在金融合规边缘游走,然后突破了这些边界,才能称得上创新。在我们社会,每一个走向时代顶峰的人,都是伊卡洛斯。
话题2:有个疑问咨询一下大家,终端都是纯内网的,因为私有化企业微信需要组织在线会议,打算通过代理方式允许终端访问腾讯云的服务。终端桌面和企业微信增加了水印功能,补充事后追溯手段。现在有几个困惑:
一是属于内部终端的数据安全的管控,还有没有别的手段?
二是终端访问腾讯云,是不是还有别的漏洞,可以允许终端通过腾讯云访问到其他地方?
这样的终端还能不能称之为内网终端。
A1:这个代理是什么工具呢?是挂个代理服务器IP?
A2:打算买个商用设备,功能在测试,类似上网行为管理。开通后,除了企业微信,内网还可以访问、。不可控的点特别多。
A3:你要看看腾讯云在企业微信的应用上的域名。像钉钉,混合部署版就是要访问很多阿里云的域名,包括*.。而且无法穷举。看看企业微信有没有这个问题。
A4:腾讯云给了 经400个 IP/域名的白名单。目前我们也是担心加*的域名,不知道提供啥服务的IP地址,导致内网终端随意访问互联网。关键是对于数据安全管控只能是事后的技术手段了,出事了可以查一下。事中没法阻断。
Q:企业微信的在线会议真的能满足需求吗,比如你们要组个全员大会,培训,如果最终还是得买专门的在线会议系统,就不用折腾企业微信这个了。
A5:现在用saas版的够用,去年开始折腾私有化混合部署的。这个切换过程要给安全搞出不知道多少漏洞,现在还没来得及系统评估一下。
A6:那大把漏洞。看你要不要关注。毕竟2C做的企业通信软件和2B做的,还是完全不一样。
A7:你们员工不叫吗?不让随时随地用企微会议或飞书会议。手机端能安装私有化企微吗?能不能和外面人聊天呢?如果手机能安装的话,自己给自己发一个文件。自己给自己发个文件,再保存到手机里,从数据安全的角度,已经开了口子吧
A8:可以安装,是否和外部打通,看企微私有化版本的配置。我们这企业微信里的文件手机是拷贝不出来的。
A9:这是另外一个层面的事儿了,目前两套在并存,所以还没有人找上门。你们企业微信也是部署在内网的么,开通会议功能了么?
A10:在内网,没开通会议功能。手机端可以给内网客户端互发消息。本质上服务端是内外网互通的。客户端只能访问内网。
话题3:昨天看见一篇文章写的,国外2家做这块的案例,一个被收了,一个变成反cloud ide,不过cloud ide是不是真的是以安全为需求的一个产品,从开发视角来看貌似他们可能是伪需求?
A1:在蚂蚁 推动 的重要驱动力 就是安全。可以看下《》。
A2:研发效率会降低么,大概会降低多少,不知道有没有统计过,然后说服了老板。
A3:真正做起来、用起来,挑战还是非常多,我们也是一个场景一个场景做。目前最成功的是外包前端研发,安全需求最强,也比较成熟.
A4:这个场景就好容易理解和接受了,也比较好推广了,毕竟还是信任问题。
大部分金融企业的源代码,除了一些固定密码风险较大,其他风险还好吧。源代码给你了也开不了一个银行。
A5:但可以挖你漏洞啊,当然密钥凭证泄露是首当其中的严重风险。
A6:大部分系统迭代的连自己都不知道线上是哪个版本,挖洞的投入和产出太不成正比了。一般是挖一个平台的漏洞,平行推广很多家都在用,这样才有投入产出价值。要不然就是对工农中建这种大行可能有些舆论价值。
A7:这个你就低估了,有了代码,可以大大加速渗透攻击。
A8:这就是一般企业会不会成为定向攻击的目标。要不要为此投入了,金融业也分大中小。
A9:很多金融业公司被渗透泄露了,只是自己不知道而已。应用小场景还是可以的;大规模推广很难,开发人员习惯是很难改的。
A10:我们前段时间也在内部通过实践代码不落地相关的治理,也是针对外包人员,前端开发是个比较好的落地场景,比较麻烦的是针对客户端开发这类,体验问题较多。
A11:开发人员没有主动Cloud IDE诉求,就看产品成熟度和安全需求这两者的平衡。
A12:这是事实,但被攻击的可能点太多了,小金融企业不可能面面俱到,只能选择投入产出比较大的,对自己的定位很重要,自身防御体系建设的假想敌是什么样级别的,不可能选择和工农中建一样的假想敌,不现实。
A13:这个没问题,肯定先把最严重的头部风险给解决,但如果发生大规模代码泄露事件,这个风险还是需要重视的。监管单位也会非常关心。
A14:我始终认同深圳分会会长郭总说的:大环境摆在这了,小环境要提升能力。群,能帮大家守望相助,帮大家少走弯路,但不能解决能力不足问题,不能解决意愿不足问题,不能替你走路。
0x2 本周精粹
休刊
323AI导航网发布
相关文章
