AI 时代的安全
AI 创建,人类验证,安全得以完善
在 AI 编写代码的时代。
我们认为"验证"已经变得比"构建"更加重要。
为什么是安全?
AI 协作开发的时代已经到来。
代码编写速度加快了,但安全验证的重要性反而更加突出了。
AI 生成的代码中可能隐藏着已知的漏洞模式,
快速的开发节奏给安全审查时间带来了压力。
因此,我们正在将安全培养为核心能力。
先发防御
在问题发生之前发现并应对漏洞
自动化优先
用自动化系统弥补人工审查的局限
持续成长
针对最新威胁不断提升能力
研究领域
深入探索并在实践中应用的安全领域
AI 代码安全验证
🔬 研究中研究自动检测和验证 AI 生成代码中漏洞的系统。
- LLM 生成代码分析
- 漏洞模式检测
- SQL Injection、XSS 自动检查
- 代码审查自动化
自动化安全测试
✅ 应用中构建和运营集成到 CI/CD 流水线中的安全检查系统。
- CI/CD 安全 Hook 集成
- OWASP Top 10 检查
- 依赖项漏洞扫描
- 自动安全报告
渗透测试能力
📚 学习中通过道德黑客技术,提前发现和应对系统安全漏洞。
- Web 应用渗透测试
- API 安全测试
- 认证/授权漏洞分析
- 安全审计报告
安全架构设计
✅ 应用中从一开始就应用安全优先的系统设计原则。
- Zero Trust 架构
- Defense in Depth
- 最小权限原则
- 数据加密设计
实际应用案例
我们先在自己的项目中应用并进行验证
7层权限系统
应用于 Multi-SaaS Kit 的细粒度权限管理体系
Laravel Policy + MiddlewarePostgreSQL RLS
基于 Row Level Security 的租户数据隔离
PostgreSQL + stancl/tenancyAI 代码审查双重校验
利用 Multi-LLM 的自动代码安全验证
Claude + OpenCode + GeminiCI/CD 安全 Hook
代码修改时自动运行安全扫描
Custom Hook + SAST路线图
逐步提升安全能力
开发安全体系强化
- 基于 TDD、单元测试的质量管理
- 安全工具及自主渗透测试
- 基于 OWASP 的安全验证体系运营
自有系统安全加固
- 内部系统安全检查体系化
- 外部渗透测试评估
- 安全自动化流水线构建
安全能力扩展
- 安全验证流程优化
- 自动化范围扩大
- 安全服务领域探索
重视安全的开发
我们认为验证和构建同样重要。
我们构建安全稳固的系统。