傳統用CodeQL進行漏洞挖掘，生成的結果誤報較多，影響效率；那么，如果融入ChatGPT和RASP呢？

3月21日，由Informa Markets主辦的2023 INSEC WORLD 世界信息安全大會以“聚焦安全 打造多元新格局“為主題，在西安國際會展中心會議樓拉開帷幕。作為一次匯聚各界意見領袖和技術專家的行業開年盛會，大會邀請到逾50位海內外優秀行業大咖分享安全實踐經驗及最新技術。

深信服創新研究院安全技術專家高勇杰受邀在「漏洞與攻防安全」分論壇中進行演講，分享議題為《CodeQL漏洞挖掘之旅》。議題詳細講解CodeQL使用思路，以及一個區別于主流使用的利用CodeQL進行半自動化挖掘漏洞的方式。結合當下熱門的chatGPT工具，分享了在CodeQL的使用和工作方式的新感悟，可以有效提升漏洞挖掘效率。

在演講中，高勇杰使用SecExample開源靶場進行實際案例的演示，講解不將CodeQL作為掃描工具使用，而是利用CodeQL的分析能力，協助進行代碼審計，盡可能地減少在代碼審計時的工作量。

高勇杰總結道，CodeQL目前還存在著一些缺陷，例如QL規則需要不斷迭代、掃描結果存在誤報等等，僅使用CodeQL也無法完成完整的代碼審計流程閉環等問題。

針對以上問題，高勇杰也分享了一套借助ChatGPT與RASP技術的全自動化漏洞挖掘方式，不僅可解決QL規則的迭代、掃描規則誤報問題，且完成了代碼審計流程的閉環。

CodeQL做初步審計，提取關鍵代碼塊后交由ChatGPT驗證，并基于RASP技術避免了POC生成不穩定對結果的影響，使結果更加穩定、可靠。最終實現高效、精準的漏洞挖掘。

深信服千里目安全技術中心-創新研究院一直致力于安全和云計算領域的核心技術前沿研究，推動技術創新變革與落地，擁有安全和云計算領域500+ 專利，實現攻擊和檢測技術的相互賦能，并及時把能力輸入到業務線中，實現自身產品的迭代優化。未來，深信服千里目安全技術中心也將不斷提高專業技術造詣，深度洞察網絡安全威脅，持續為網絡安全賦能。