SPQA:基于AI的架构
人工智能将在未来几个月和几年内做很多有趣的事情,这要归功于GPT之后的爆炸。但最重要的变化之一是更换我们现有的软件。
我们曾经使我们的业务适应软件的局限性。在这个模型中,软件将适应我们开展业务的方式。
基于人工智能的应用程序将与我们今天拥有的应用程序完全不同。新架构将是一个更加优雅的基于GPT的四组件结构:状态,政策,问题和行动。
从根本上说,这是从基于电路的架构到基于理解的架构的过渡。
我们当前的软件是基于电路的,这意味着应用程序具有显式和刚性结构,例如电路板中的蚀刻。输入和输出必须显式创建、路由和维护。任何偏离该结构都会导致错误,添加新功能需要组织开发人员的线性努力。
电路不是完美的隐喻,但它具有足够的描述性。
新软件将基于理解。这些应用程序将具有几乎无限的输入,因为它们基于发送到真正理解您所问内容的系统的自然语言。添加新功能就像提出不同的问题和/或给出不同的命令一样简单。
(录制尖叫声)
“不!GPT没有真正的理解......”
⏱️ 从现在开始 60 秒...
有很多人不认为 GPT 正在做的事情是真正的“理解”,但我认为我可以在不到 60 秒的时间内说服大多数坚持者。准备?走。
首先,让我们定义术语。
情报就像是“收集、分析和共享敌人的信息,以实现卓越的决策。
- 数据:没有上下文的原始事实或数字
- 信息:已处理、组织或结构化的数据
- 知识:组合成有用的信息
- 理解:在新情况和背景下应用知识的能力
或以压缩形式:
- 数据是原始的
- 信息有条理
- 知识是有用的
- 应用理解
所以我们使用的定义是:
在新情况和背景下应用知识的能力。
那么,GPT 可以做到这一点吗?让我们用一个例子来回应。让我们看看他们是否足够理解星球大战和禁忌之爱和莎士比亚等概念,从而写出以下诗?
写一首从卢克到莱娅的情诗。
我要求它这样做,这是它写的......
哦,莱娅,所有少女中最公平的,
你的美丽使我的灵魂陷入困境。
你闪亮的眼睛,像点亮黑夜的星星,
用爱的甜蜜、闪亮的光芒填满我的心。
你温柔的触感,像羽毛一样贴在我的皮肤上,让我的心跳舞,
跳跃。
你的声音,就像我热切的耳朵里的音乐,多斯抚慰我的灵魂,
平息我最深的恐惧。
虽然我们的爱可能是被禁止的,但确实,
我情不自禁地把我的心交给你。
为了你,我所渴望的一切,我的莱娅,你点燃了我的心。
所以,让我们偷偷地进入黑夜,
让我们的爱展翅高飞。
因为在你怀里,我知道我会找到平安,
世界上所有的麻烦必定会停止。
渴望的GPT
自己尝试一下,并在组合中添加新的上下文/情况。
这是一首莎士比亚的诗,关于《星球大战》宇宙中两个兄弟姐妹之间的禁忌之爱。它适用于我刚刚编造的全新情况/背景。
尴尬
请注意,我什至没有在提示中提到星球大战或禁忌之爱!它理解“卢克和莱娅”和“爱”的含义,并推断这是被禁止的,因为它知道兄弟姐妹不应该对彼此有这种感觉。
关于 GPT 以及它们是否“理解”事物的许多困惑来自将理解与体验混淆。
理解出乎意料地从系统中消失了。
GPT 懂事吗?是的。这项技术的魔力在于,GPT基本上必须意外地深入学习概念,这样他们才能正确预测序列中的下一个字母。然后,它可以在新情况下应用这些概念。
但是 GPT 知道爱是什么感觉吗?还是去思考宇宙?还是人类的死亡?不。他们一点头绪都没有。他们没有感情。他们没有意识。他们没有一点点经历。
如果你认为你必须感觉才能理解,那么你就是在说理解需要意识,这比卢克和莱娅跳起来的鸿沟更大。
但请记住,我们并不是要求 GPT 体验事物。我们不是在问他们是否感觉到了。问题是他们是否可以使用新信息从概念中概括出来,即将知识应用于新的情况和背景。
这就是理解。是的,他们做得非常好。
⏱️ 计时器停止。希望我已经说服了你。
理解的软件
很难摸清我们的传统软件和理解软件之间的差异范围。
我说“类似”是因为确切的获胜实施将基于市场且不可预测。
与其试图摸索解释,不如让我们举个例子,想想今天和不久的将来如何使用 SPQA 架构来完成它。
今天的安全计划
假设我们有一家名为Splice的生物技术公司,总部位于加利福尼亚州圣布鲁诺。他们拥有 12,500 名员工,并且正在获得全新的 CISO。她要求团队立即开始构建以下内容:
- 从业务和风险的角度给我一个最关键应用程序的列表
- 创建我们对他们的主要威胁的优先级列表,并将其与我们的安全团队花费的时间和金钱相关联
- 就如何调整预算、员工人数、OKR 和项目列表提出建议,以正确适应我们的实际威胁
- 让我们使用这种新方法编写一个调整后的安全策略
- 定义我们将跟踪的前 5 个 KPI,以显示实现目标的进度
- 根据我们的组织结构,构建从该策略流出的嵌套 OKR 结构
- 为开发板创建描述新方法的更新演示文稿
- 根据我们所属的法规,从合规性的角度创建我们缺乏的方式列表
- 然后制定一个完整的实施计划,在未来四个季度之前分解
- 最后,编写我们的第一份季度安全报告,并保持文档更新
需要多少人才能将其放在一起?什么资历的人?需要多长时间?
如果你在安全部门工作了很长时间,你就会知道这很容易就是几个月的工作,只是为了第一个版本。会议、讨论和维护所有这些也需要数百小时。
见鬼,有许多安全组织花了数年时间研究这些东西,但仍然没有令人满意的版本。
因此,花费数月的时间来创建它,然后使用安全组织中数十名最优秀的人员来维护它,他们花费了大量时间。
使用 SPQA 的安全程序
让我们看看它在新模型中是什么样子的。
在实际实现中,POLICY可能会成为STATE的一部分,但需要更小的模型来允许更频繁的更改。
- 选择基本模型 — 您从 OpenAI、Google、Meta、麦肯锡或其他公司的最新、最棒的整体 GPT 模型开始。很多公司都会有一个。让我们称之为OpenAI的GPT-6。它已经非常了解安全性、生物技术、项目管理、日程安排、会议、预算、事件响应和审计准备,因此您可以独自生存。但您需要更个性化的上下文。
- 训练您的自定义模型 — 然后,您可以根据您自己的数据训练您的自定义模型,这些数据将堆叠在 GPT-6 之上。这是上一节中的所有内容。这是公司的遥测和上下文。原木。文档。财政。聊天。电子邮件。会议记录。万事。这是一家小公司,压缩算法作为我们使用的自定义模型生成 (CMG) 产品的一部分,因此总共有 312TB 的数据。您可以在此基础上训练自定义模型。
STATE
- 训练您的策略模型 — 现在,您训练另一个完全与公司愿望相关的模型。使命,目标,你的反目标,你的挑战,你的策略。这是来自人类的指导,我们用它来指导架构的一部分。当我们要求它为我们制作东西并制定我们的计划时,它会使用此处捕获的护栏来执行此操作。
ACTION
POLICY
- 告诉系统执行以下操作 — 现在模型已合并。我们有 GPT-6,与我们的模型堆叠在一起,也与我们的模型堆叠在一起,他们一起比我们自己更了解我们。
STATE
POLICY
所以现在我们给它我们从CISO那里得到的完全相同的工作清单。
- 从业务和风险的角度给我一个最关键应用程序的列表
- 创建我们对他们的主要威胁的优先级列表,并将其与我们的安全团队花费的时间和金钱相关联
- 就如何调整预算、员工人数、OKR 和项目列表提出建议,以正确适应我们的实际威胁
- 让我们使用这种新方法编写一个调整后的安全策略
- 定义我们将跟踪的前 5 个 KPI,以显示实现目标的进度
- 根据我们的组织结构,构建从该策略流出的嵌套 OKR 结构
- 为开发板创建描述新方法的更新演示文稿
- 根据我们所属的法规,从合规性的角度创建我们缺乏的方式列表
- 然后制定一个完整的实施计划,在未来四个季度之前分解
- 最后,编写我们的第一份季度安全报告,并保持文档更新
在可预见的未来,我们仍然需要仔细检查模型的输出,因为在游戏早期,幻觉是真实存在的。
假设我们新的组合SPQA系统称为Prima。问自己两个问题。
- 考虑到它对公司的所有了解,创建所有这些的第一个版本需要多长时间?
- 每周、每月、每季度或每年创建更新版本需要多少时间?
答案是分钟。不仅适用于初始创建,也适用于未来的所有更新。
它唯一需要的是1)使用最新数据的最新模型,以及2)来自组织中人类领导者的正确问题。在这种情况下,我们已经在上面的列表中提出了这些问题。
请记住,Prima不仅会提出方向,还会创建所有工件。每个文档。每个OKR。QSR本身。战略文件。董事会演示文稿的大纲。审核员编制文件。甚至是给利益相关者的电子邮件。这是额外的数百小时工作,而这些工作本来可以由整个组织中更多的初级团队成员完成。
所以——我们谈论的是每季度数千小时的工作——分散在几十个人身上——到其中的1%到5%。在新模型中,工作将转向确保是最新的,并且我们要求是正确的。POLICY
QUESTIONS
软件垂直行业的转型
坚持安全性,因为这是我最了解的,想象一下SPQA将对整个产品空间做什么。静态分析怎么样?
SPQA 中的静态分析
在静态分析中,您实际上是在接受输入并询问两件事:
- 怎么了?
- 我们如何解决它?
SPQA将粉碎所有这样做的现有软件,因为它是基于理解的。因此,一旦它通过你的问题充分了解问题,并且它理解你试图通过你的,它将能够做的不仅仅是发现代码问题和修复。它将能够执行以下操作:STATE
POLICY
- 查找问题
- 展示如何用任何语言(编码或人类)修复它
- 编写一个关于避免这些错误的即时教程
- 在工具的技术中编写一个规则来检测它
- 给你固定代码
- 确认代码有效
另外,你还可以做一些更疯狂的事情,比如创建多个版本的代码,看看它们如何应对最常见的攻击,然后根据这些结果提出建议。
一般安全软件
现在,让我们缩小到一般的安全软件,并对一些最受欢迎的产品进行一些快速点击。
检测和响应
- 谁是这里真正的攻击者?
- 谁在等待激活?
- 查找我们组织中最新的 TTP
- 在我们的检测软件中编写规则以找到它们
- 与我们的同行分享这些规则
- 拉出他们的规则并检查这些规则
- 创建一个虚假的并行基础结构,该基础结构看起来与我们完全相同,但旨在使用以下条件捕获攻击者
- 自动禁用帐户、发送通知、重置令牌等。当您看到成功的攻击时
- 注意可疑的链接事件,例如未知电话呼叫,然后是远程会话,然后是文档审查。
基本上,当你站起来时,你们中的大多数人都必须手动构建D&R功能,因为你已经准备好了SPQA。
它天生就明白什么是可疑的。没有更明确的编码规则。现在,您只需向“策略”模型添加指导。
攻击面管理和赏金
- 提取有关公司的所有数据
- 查找其所有合并和隶属关系
- 查找与这些内容相关的所有文档
- 列出所有域
- 持续运行工具以查找所有子域
- 开放端口
- 端口上的应用程序
- 使用自动化不断浏览这些网站
- 将数据发送到 SPQA 模型以查找最脆弱的点
- 针对这些点运行自动化
- 自动向赏金计划提交包含 POC 代码的高质量报告
- (如果你是青蛙)向security@提交相同的报告,看看他们是否仍会向您付款
- 不断发现我们的新表面
- 持续监控/扫描并转储到数据湖(S3 存储桶或等效数据)
- 不断重新运行模型
STATE
- 连接到警报系统和报告创建工具
- 让系统自我优化
企业安全
- 监控可疑操作和参与者的所有活动
- 自动检测、阻止并通知这些操作
- 确保 SaaS 安全性与企业安全策略完全同步(请参阅
POLICY
)
供应商和供应链安全
供应商和供应链安全将成为SPQA最激烈和最强大的中断之一,只是因为目前这个问题是多么不可能。
- 列出我们拥有的所有供应商
- 使用我们收到的每份问卷
- 查找供应商的软件在我们的基础架构中涉及的每个位置
- 在这些位置查找易受攻击的组件
- 列出我们公司各个方面的最高风险的优先清单
- 建议缓解措施以降低风险,盯着最严重的风险
- 创建具有类似功能但不具有这些风险的替代供应商列表
- 创建前 3 个选项的迁移计划
今天,在任何大型组织中,上述目标几乎是不可能的。基于 SQPA 的应用程序将在几分钟内将其吐出。整件事。每次模型更新时都一样。
我们谈论的是完全不可能...到分钟。
即将推出的内容
请记住,整个事情就像 4 个月前一样弹出,所以这仍然是第 0 天。
这些只是网络安全的几个例子。但这基本上从一个月前开始适用于所有软件。目前的主要限制是:
- 创建大型自定义模型所需的大小限制和软件
- 为拥有大量数据的大型组织运行更新的速度和成本限制
第一个已经使用诸如LangChain,但我们很快就会为此提供超级流畅的实现。您基本上可以在所有软件中提供导出选项,以发送导出或流式传输该工具的所有内容。那是Splunk,Slack,GApps,O365,Salesforce,你所有的安全软件,所有的人力资源软件。万事。
它们都将具有近乎实时的连接器,发送到您选择的 SPQA 产品的型号。STATE
我们可能会看到“状态”和“策略”分解为多个子模型,其中包含最基本和最及时的数据,以便它们可以尽可能快速和廉价地更新。
对于#2,这需要时间。OpenAI已经在降低这项技术的价格方面做了一些真正的魔术,但是在数百TB的数据上训练自定义模型仍然是昂贵和耗时的。下降多少和多快是未知的。
如何准备
以下是我向当今创建软件的人推荐的内容。
开始思考您企业的首要原则。非常认真地问问自己你提供什么,它与竞争对手的产品有什么不同,以及当你的公司成为一组客户不直接访问的 API 时会是什么样子。是你的界面让你与众不同吗?您的数据?您的见解?当您的所有竞争对手都拥有同样强大的人工智能时,这些情况会如何变化?
开始考虑您企业的护城河。当这一切完全实现时,在接下来的 1-5 年内,问问自己,使用自己的自定义模型堆叠在庞大的 LLM 之上,与像麦肯锡这样的人带着 The SolutionTM 走进来有什么区别。现在是 2026 年,他们告诉您的客户,他们可以通过使用您的州和政策在 3-12 个月内简单地实施您的业务。只有他们有一些秘密的麦肯锡酱可以添加,因为他们见过这么多顾客。每个人最终都会运行三个通用 SPA 框架之一吗?
注意创新者的困境。仅仅因为这是不可避免的并不意味着你可以放弃一切并转向。问题是,根据您当前的业务、垂直、成熟度、财务状况等,您将如何转型?你要慢慢地、原地做吗?或者您是否建立一个单独的部门,重新开始,但从您的传统运营中获取资源?或者也许是某种混合体。对于每个公司来说,这即将成为一个非常重要的决定。
专注于问题。当给出出色的答案变得容易时,最重要的是提出正确问题的能力。这种新架构将非常强大,但您仍然需要定义公司正在尝试做什么。我们为什么存在?我们的目标是什么?甚至比您的状态更重要的是,您的政策内容将成为您业务中最独特和最识别的部分。这是你的目的,你不会容忍的,以及你对成功的定义。
我目前的模式是分析乐观主义。我对即将发生的事情感到兴奋,但忍不住担心它的发展速度有多快。
再见。