模型在数秒内生成安全控制伪代码

新型工具利用大语言模型为云服务配置和警报处理创建规则。

当前挑战

为云服务开发安全控制需要分析服务文档、编写详细规范（通常使用Gherkin格式）以及最终开发确保安全配置的代码。平均每个安全控制需要24天才能完成。随着云服务组合持续扩展，每个服务包含大量需要保护的资源，手动编写和审查控制会导致部署延迟。

新模型使用大语言模型（LLM）自动生成Gherkin规范，将所需时间从数天缩短至数秒。当输入模型服务文档和安全需求描述时，LLM能够输出准备实施的准确控制规范。

例如，LLM可以为基本安全需求（如静态数据加密或日志记录）生成Gherkin规范（称为gherkins）。这个过程有助于确保使用某中心自动化机器学习服务的作业正确配置以满足安全标准，而无需工程师每次深入研究文档。

提示工程是设计精确输入提示以引导语言模型产生期望输出的过程。在新模型中，结合了几种提示工程技术来提高LLM性能并增加输出透明度。

首先使用思维链推理将生成gherkins的复杂任务分解为一系列简单步骤。在每个步骤中，LLM被指示创建中间结果，这些结果作为下一步的输入。

还使用检索增强生成（RAG）使LLM能够从外部源检索相关信息。在这种情况下，源是Boto3 API规范，信息是服务和资源的配置（以Boto3语法表示），这些信息也被添加到提示中。

最后使用的技术是上下文学习，将安全工程师开发的gherkins正面示例添加到提示中。这可以推动LLM朝正确方向模仿正面示例，为输入查询生成类似的gherkins。

通过结合这些技术，新模型能够提供高度准确和领域特定的安全控制，这将显著加快开发过程并提高整体安全效率。在未来的工作中，将进一步完善系统，可能使用基于代理的架构来处理更复杂的控制生成场景。