人工智能将在未来几个月和几年内做很多有趣的事情,这要归功于GPT之后的爆炸。但最重要的变化之一是更换我们现有的软件。

我们曾经使我们的业务适应软件的局限性。在这个模型中,软件将适应我们开展业务的方式。

基于人工智能的应用程序将与我们今天拥有的应用程序完全不同。新架构将是一个更加优雅的基于GPT的四组件结构:状态,政策,问题和行动

从根本上说,这是从基于电路的架构到基于理解的架构的过渡。

电路板

我们当前的软件是基于电路的,这意味着应用程序具有显式和刚性结构,例如电路板中的蚀刻。输入和输出必须显式创建、路由和维护。任何偏离该结构都会导致错误,添加新功能需要组织开发人员的线性努力。

电路不是完美的隐喻,但它具有足够的描述性。

新软件将基于理解。这些应用程序将具有几乎无限的输入,因为它们基于发送到真正理解您所问内容的系统的自然语言。添加新功能就像提出不同的问题和/或给出不同的命令一样简单。

SPQA-迈斯勒-2023年<>月-中等

SPQA 架构

(录制尖叫声)

“不!GPT没有真正的理解......”

⏱️ 从现在开始 60 秒...

有很多人不认为 GPT 正在做的事情是真正的“理解”,但我认为我可以在不到 60 秒的时间内说服大多数坚持者。准备?

首先,让我们定义术语。

情报就像是“收集、分析和共享敌人的信息,以实现卓越的决策。

  • 数据:没有上下文的原始事实或数字
  • 信息:已处理、组织或结构化的数据
  • 知识:组合成有用的信息
  • 理解:在新情况和背景下应用知识的能力

或以压缩形式:

  • 数据是原始
  • 信息有条理
  • 知识是有用的
  • 应用理解

所以我们使用的定义是:

在新情况和背景下应用知识的能力。

那么,GPT 可以做到这一点吗?让我们用一个例子来回应。让我们看看他们是否足够理解星球大战和禁忌之爱莎士比亚等概念,从而写出以下诗?

写一首从卢克到莱娅的情诗。

我要求它这样做,这是它写的......

哦,莱娅,所有少女中最公平的,
你的美丽使我的灵魂陷入困境。
你闪亮的眼睛,像点亮黑夜的星星,
用爱的甜蜜、闪亮的光芒填满我的心。

你温柔的触感,像羽毛一样贴在我的皮肤上,让我的心跳舞,
跳跃。
你的声音,就像我热切的耳朵里的音乐,多斯抚慰我的灵魂,
平息我最深的恐惧。

虽然我们的爱可能是被禁止的,但确实,
我情不自禁地把我的心交给你。

为了你,我所渴望的一切,我的莱娅,你点燃了我的心。

所以,让我们偷偷地进入黑夜,
让我们的爱展翅高飞。
因为在你怀里,我知道我会找到平安,
世界上所有的麻烦必定会停止。

渴望的GPT

自己尝试一下,并在组合中添加新的上下文/情况。

这是一首莎士比亚的诗,关于《星球大战》宇宙中两个兄弟姐妹之间的禁忌之爱。它适用于我刚刚编造的全新情况/背景。

尴尬

尴尬

请注意,我什至没有在提示中提到星球大战或禁忌之爱!它理解“卢克和莱娅”和“爱”的含义,并推断这是被禁止的,因为它知道兄弟姐妹不应该对彼此有这种感觉。

关于 GPT 以及它们是否“理解”事物的许多困惑来自将理解体验混淆。

理解出乎意料地从系统中消失了。

GPT 事吗?是的。这项技术的魔力在于,GPT基本上必须意外地深入学习概念,这样他们才能正确预测序列中的下一个字母。然后,它可以在新情况下应用这些概念。

但是 GPT 知道爱是什么感觉吗?还是去思考宇宙?还是人类的死亡?不。他们一点头绪都没有。他们没有感情。他们没有意识。他们没有一点点经历。

如果你认为你必须感觉才能理解,那么你就是在说理解需要意识,这比卢克和莱娅跳起来的鸿沟更大。

但请记住,我们并不是要求 GPT 体验事物。我们不是在问他们是否感觉到了。问题是他们是否可以使用新信息从概念中概括出来,即将知识应用于新的情况和背景

这就是理解。是的,他们做得非常好。

⏱️ 计时器停止。希望我已经说服了你。

理解的软件

很难摸清我们的传统软件和理解软件之间的差异范围。

spqa-architecture-miessler-notes

国家和政策都将是基于模型的

我说“类似”是因为确切的获胜实施将基于市场且不可预测。

与其试图摸索解释,不如让我们举个例子,想想今天和不久的将来如何使用 SPQA 架构来完成它。

今天的安全计划

假设我们有一家名为Splice的生物技术公司,总部位于加利福尼亚州圣布鲁诺。他们拥有 12,500 名员工,并且正在获得全新的 CISO。她要求团队立即开始构建以下内容:

  • 从业务和风险的角度给我一个最关键应用程序的列表
  • 创建我们对他们的主要威胁的优先级列表,并将其与我们的安全团队花费的时间和金钱相关联
  • 就如何调整预算、员工人数、OKR 和项目列表提出建议,以正确适应我们的实际威胁
  • 让我们使用这种新方法编写一个调整后的安全策略
  • 定义我们将跟踪的前 5 个 KPI,以显示实现目标的进度
  • 根据我们的组织结构,构建从该策略流出的嵌套 OKR 结构
  • 为开发板创建描述新方法的更新演示文稿
  • 根据我们所属的法规,从合规性的角度创建我们缺乏的方式列表
  • 然后制定一个完整的实施计划,在未来四个季度之前分解
  • 最后,编写我们的第一份季度安全报告,并保持文档更新

需要多少人才能将其放在一起?什么资历的人?需要多长时间?

如果你在安全部门工作了很长时间,你就会知道这很容易就是几个月的工作,只是为了第一个版本。会议、讨论和维护所有这些也需要数百小时。

见鬼,有许多安全组织花了数年时间研究这些东西,但仍然没有令人满意的版本。

因此,花费数月的时间来创建它,然后使用安全组织中数十名最优秀的人员来维护它,他们花费了大量时间。

使用 SPQA 的安全程序

让我们看看它在新模型中是什么样子的。

在实际实现中,POLICY可能会成为STATE的一部分,但需要更小的模型来允许更频繁的更改。

  1. 选择基本模型 — 您从 OpenAI、Google、Meta、麦肯锡或其他公司的最新、最棒的整体 GPT 模型开始。很多公司都会有一个。让我们称之为OpenAI的GPT-6。它已经非常了解安全性、生物技术、项目管理、日程安排、会议、预算、事件响应和审计准备,因此您可以独自生存。但您需要更个性化的上下文。
  2. 训练您的自定义模型 — 然后,您可以根据您自己的数据训练您的自定义模型,这些数据将堆叠在 GPT-6 之上。这是上一节中的所有内容。这是公司的遥测和上下文。原木。文档。财政。聊天。电子邮件。会议记录。万事。这是一家小公司,压缩算法作为我们使用的自定义模型生成 (CMG) 产品的一部分,因此总共有 312TB 的数据。您可以在此基础上训练自定义模型。STATE
  3. 训练您的策略模型 — 现在,您训练另一个完全与公司愿望相关的模型。使命,目标,你的反目标,你的挑战,你的策略。这是来自人类的指导,我们用它来指导架构的一部分。当我们要求它为我们制作东西并制定我们的计划时,它会使用此处捕获的护栏来执行此操作。ACTIONPOLICY
  4. 告诉系统执行以下操作 — 现在模型已合并。我们有 GPT-6,与我们的模型堆叠在一起,也与我们的模型堆叠在一起,他们一起比我们自己更了解我们。STATEPOLICY

所以现在我们给它我们从CISO那里得到的完全相同的工作清单。

  • 从业务和风险的角度给我一个最关键应用程序的列表
  • 创建我们对他们的主要威胁的优先级列表,并将其与我们的安全团队花费的时间和金钱相关联
  • 就如何调整预算、员工人数、OKR 和项目列表提出建议,以正确适应我们的实际威胁
  • 让我们使用这种新方法编写一个调整后的安全策略
  • 定义我们将跟踪的前 5 个 KPI,以显示实现目标的进度
  • 根据我们的组织结构,构建从该策略流出的嵌套 OKR 结构
  • 为开发板创建描述新方法的更新演示文稿
  • 根据我们所属的法规,从合规性的角度创建我们缺乏的方式列表
  • 然后制定一个完整的实施计划,在未来四个季度之前分解
  • 最后,编写我们的第一份季度安全报告,并保持文档更新

在可预见的未来,我们仍然需要仔细检查模型的输出,因为在游戏早期,幻觉是真实存在的。

假设我们新的组合SPQA系统称为Prima。问自己两个问题。

  1. 考虑到它对公司的所有了解,创建所有这些的第一个版本需要多长时间?
  2. 每周、每月、每季度或每年创建更新版本需要多少时间?

答案是分钟。不仅适用于初始创建,也适用于未来的所有更新。

它唯一需要的是1)使用最新数据的最新模型,以及2)来自组织中人类领导者的正确问题。在这种情况下,我们已经在上面的列表中提出了这些问题。

请记住,Prima不仅会提出方向,还会创建所有工件。每个文档。每个OKR。QSR本身。战略文件。董事会演示文稿的大纲。审核员编制文件。甚至是给利益相关者的电子邮件。这是额外的数百小时工作,而这些工作本来可以由整个组织中更多的初级团队成员完成。

所以——我们谈论的是每季度数千小时的工作——分散在几十个人身上——到其中的1%到5%。在新模型中,工作将转向确保是最新的,并且我们要求是正确的。POLICYQUESTIONS

软件垂直行业的转型

坚持安全性,因为这是我最了解的,想象一下SPQA将对整个产品空间做什么。静态分析怎么样?

SPQA-静态-分析-米斯勒-MAR23

SPQA 中的静态分析

在静态分析中,您实际上是在接受输入并询问两件事:

  1. 怎么了?
  2. 我们如何解决它?

SPQA将粉碎所有这样做的现有软件,因为它是基于理解的。因此,一旦它通过你的问题充分了解问题,并且它理解你试图通过你的,它将能够做的不仅仅是发现代码问题和修复。它将能够执行以下操作:STATEPOLICY

  1. 查找问题
  2. 展示如何用任何语言(编码或人类)修复它
  3. 编写一个关于避免这些错误的即时教程
  4. 在工具的技术中编写一个规则来检测它
  5. 给你固定代码
  6. 确认代码有效

另外,你还可以做一些更疯狂的事情,比如创建多个版本的代码,看看它们如何应对最常见的攻击,然后根据这些结果提出建议。

一般安全软件

现在,让我们缩小到一般的安全软件,并对一些最受欢迎的产品进行一些快速点击。

检测和响应

  • 谁是这里真正的攻击者?
  • 谁在等待激活?
  • 查找我们组织中最新的 TTP
  • 在我们的检测软件中编写规则以找到它们
  • 与我们的同行分享这些规则
  • 拉出他们的规则并检查这些规则
  • 创建一个虚假的并行基础结构,该基础结构看起来与我们完全相同,但旨在使用以下条件捕获攻击者
  • 自动禁用帐户、发送通知、重置令牌等。当您看到成功的攻击时
  • 注意可疑的链接事件,例如未知电话呼叫,然后是远程会话,然后是文档审查。

基本上,当你站起来时,你们中的大多数人都必须手动构建D&R功能,因为你已经准备好了SPQA。

它天生就明白什么是可疑的。没有更明确的编码规则。现在,您只需向“策略”模型添加指导。

攻击面管理和赏金

  • 提取有关公司的所有数据
  • 查找其所有合并和隶属关系
  • 查找与这些内容相关的所有文档
  • 列出所有域
  • 持续运行工具以查找所有子域
  • 开放端口
  • 端口上的应用程序
  • 使用自动化不断浏览这些网站
  • 将数据发送到 SPQA 模型以查找最脆弱的点
  • 针对这些点运行自动化
  • 自动向赏金计划提交包含 POC 代码的高质量报告
  • (如果你是青蛙)向security@提交相同的报告,看看他们是否仍会向您付款
  • 不断发现我们的新表面
  • 持续监控/扫描并转储到数据湖(S3 存储桶或等效数据)
  • 不断重新运行模型STATE
  • 连接到警报系统和报告创建工具
  • 让系统自我优化

企业安全

  • 监控可疑操作和参与者的所有活动
  • 自动检测、阻止并通知这些操作
  • 确保 SaaS 安全性与企业安全策略完全同步(请参阅POLICY)

供应商和供应链安全

供应商和供应链安全将成为SPQA最激烈和最强大的中断之一,只是因为目前这个问题是多么不可能

  • 列出我们拥有的所有供应商
  • 使用我们收到的每份问卷
  • 查找供应商的软件在我们的基础架构中涉及的每个位置
  • 在这些位置查找易受攻击的组件
  • 列出我们公司各个方面的最高风险的优先清单
  • 建议缓解措施以降低风险,盯着最严重的风险
  • 创建具有类似功能但不具有这些风险的替代供应商列表
  • 创建前 3 个选项的迁移计划

今天,在任何大型组织中,上述目标几乎是不可能的。基于 SQPA 的应用程序将在几分钟内将其吐出。整件事。每次模型更新时都一样。

我们谈论的是完全不可能...到分钟

即将推出的内容

请记住,整个事情就像 4 个月前一样弹出,所以这仍然是第 0 天。

这些只是网络安全的几个例子。但这基本上从一个月前开始适用于所有软件。目前的主要限制是:

  1. 创建大型自定义模型所需的大小限制和软件
  2. 为拥有大量数据的大型组织运行更新的速度和成本限制

第一个已经使用诸如LangChain,但我们很快就会为此提供超级流畅的实现。您基本上可以在所有软件中提供导出选项,以发送导出或流式传输该工具的所有内容。那是Splunk,Slack,GApps,O365,Salesforce,你所有的安全软件,所有的人力资源软件。万事。

它们都将具有近乎实时的连接器,发送到您选择的 SPQA 产品的型号。STATE

我们可能会看到“状态”和“策略”分解为多个子模型,其中包含最基本和最及时的数据,以便它们可以尽可能快速和廉价地更新。

对于#2,这需要时间。OpenAI已经在降低这项技术的价格方面做了一些真正的魔术,但是在数百TB的数据上训练自定义模型仍然是昂贵和耗时的。下降多少和多快是未知的。

如何准备

以下是我向当今创建软件的人推荐的内容。

开始思考您企业的首要原则。非常认真地问问自己你提供什么,它与竞争对手的产品有什么不同,以及当你的公司成为一组客户不直接访问的 API 时会是什么样子。是你的界面让你与众不同吗?您的数据?您的见解?当您的所有竞争对手都拥有同样强大的人工智能时,这些情况会如何变化?

开始考虑您企业的护城河。当这一切完全实现时,在接下来的 1-5 年内,问问自己,使用自己的自定义模型堆叠在庞大的 LLM 之上,与像麦肯锡这样的人带着 The SolutionTM 走进来有什么区别。现在是 2026 年,他们告诉您的客户,他们可以通过使用您的州和政策在 3-12 个月内简单地实施您的业务。只有他们有一些秘密的麦肯锡酱可以添加,因为他们见过这么多顾客。每个人最终都会运行三个通用 SPA 框架之一吗?

注意创新者的困境。仅仅因为这是不可避免的并不意味着你可以放弃一切并转向。问题是,根据您当前的业务、垂直、成熟度、财务状况等,您将如何转型?你要慢慢地、原地做吗?或者您是否建立一个单独的部门,重新开始,但从您的传统运营中获取资源?或者也许是某种混合体。对于每个公司来说,这即将成为一个非常重要的决定。

专注于问题。当给出出色的答案变得容易时,最重要的是提出正确问题的能力。这种新架构将非常强大,但您仍然需要定义公司正在尝试做什么。我们为什么存在?我们的目标是什么?甚至比您的状态更重要的是,您的政策内容将成为您业务中最独特和最识别的部分。这是你的目的,你不会容忍的,以及你对成功的定义。

我目前的模式是分析乐观主义。我对即将发生的事情感到兴奋,但忍不住担心它的发展速度有多快。

再见。