講者資訊

沈宜婷 (noflag)

沈宜婷 (noflag)

Array Networks
Security Researcher

I am currently working as a Security Researcher at Array Networks. Over the past year, I have presented various cybersecurity-related research topics at domestic and international conferences. I enjoy conducting research, especially focusing on AI/ML applications this year. By engaging with different technical domains, I aim to solve cybersecurity problems, uncover vulnerabilities across various platforms, and identify new CVE vulnerabilities. I have found vulnerabilities in multiple platforms, including Google products, open-source projects, educational institutions... Learning and research have become the central focus of my life.

Speech record: COSCUP, WordCamp Asia, MOPCON, MWC, CYBERSEC, Hello World Dev Conference, AI Academy Annual Conference, PyCon Korea, SECCON...

Personal website: https://no-flag.com

演講議程

讓AI來挑戰你的DevOps:自動化攻擊與防禦的實踐

在當前的 DevOps 環境中,自動化既是生產力的加速器,也是潛在的安全隱患。隨著 AI 技術的進步,攻擊者已經能夠利用 AI 進行高度自動化的滲透測試與攻擊,而防禦端則面臨更大的挑戰。

DevOps 自動化雖然提升了開發效率,但也帶來了新的安全風險。傳統的安全審查流程難以跟上快速迭代的 DevOps 速度,使得 CI/CD 配置錯誤、基礎設施漏洞、以及程式碼安全問題成為攻擊者的突破點。而 AI 技術的進步,讓攻擊者可以更高效地發現並利用這些漏洞,企業如何應對這樣的挑戰?

本研究開發了一套 AI 驅動的 DevOps 攻防與安全顧問系統,結合 OLLAMA AI 來:

  • 模擬攻擊者行為,透過 AI 自動偵測並攻擊 DevOps 環境的潛在漏洞。
  • 進行安全審查,分析 CI/CD 配置、程式碼與基礎設施設定的安全性。
  • 提供風險緩解建議,讓 DevOps 團隊即時修補可能的安全問題。
  • 作為 DevOps 安全顧問,讓使用者能與 AI 對話,獲取資安建議。

我們將現場演示 AI 如何從攻擊到防禦的完整流程,並開源我們的研究成果,讓企業與 DevOps 團隊可以自由使用與改進。我們的目標是透過這次分享,讓 DevOps 團隊更深入理解 AI 在安全領域的潛力,並有效應對未來可能的 AI 驅動攻擊。

本次分享將展示我們開發的開源工具,並透過現場 DEMO,呈現 AI 如何從攻擊者轉變為 DevOps 安全顧問,協助開發與運維團隊加強防禦能力。


聽眾收穫:

  • 理解 AI 在 DevOps 攻防中的雙重角色:如何運用 AI 來自動化攻擊與防禦,提升 DevOps 環境的安全性。
  • 學習 DevOps 可能遭受的 AI 自動化攻擊方式:了解攻擊者如何利用 AI 進行 DevOps 滲透與風險評估。
  • 掌握 AI 驅動的安全審查方法:如何使用 AI 來分析 CI/CD 配置、程式碼與基礎設施設定,以找出潛在漏洞。
  • 獲得降低 DevOps 風險的 AI 解決方案:結合 AI 安全顧問,提供即時風險緩解建議。
  • 獲得開源工具的實作經驗:透過現場展示,學習如何整合 AI 來強化 DevOps 安全防禦。
詳細介紹