2025年看雪第九届安全开发者峰会：跨向无人之境：智能架构的支付宝安全风险扫描实践

跨向无人之境

：

智能架构的支付宝安全风险扫描实践杨瑞林蚂蚁非攻安全实验室安全研究员2.大模型风险识别实践大模型Workflow离线规模化风险推理大模型Agent在线自主规划风险分析1.背景挑战当前背景与挑战安全评估思考与技术演进3.未来展望HOP标准作业程序

智能化的风险识别体系1.背景挑战人工审计面临的问题•

人工的资源挑战•

业务理解成本高传统代码扫描的局限•

无法理解动态上下文与多源业务知识•

缺乏复杂多链式综合分析能力业务逻辑漏洞泛滥•

攻击的隐蔽性强•

漏洞利用成本低攻击链的复杂性提升•

点状向链式的升级•

业务特性带来的危害放大当前背景挑战外部攻击视角内部防御视角安全研发生命周期知识图谱大模型离线规模化Workflow

在线实时性Agent复杂业务语义理解智能化自主规划分析静态代码分析单应用分析source

-

sink

规则思考与技术演进跨工程分析多知识源风险推理1.大模型风险识别实践大模型Workflow离线规模化风险推理可能面临的问题：•

中间介质与跨工程分析难点•分支综合分析与深度未知•

命名多样性

，难以枚举•

涉及强业务语义理解风险示例（水平权限）ServiceDAOControllerModel接口对外可访问存在可控资源ID查询结果存在敏感资源

userPhone,userAddressorderBizId校验错误只验证了userIdorderBizId进行了资源操作ID可控资源ID是否存在用户可控的敏感资源IDDATA资源查询与操作是否通过资源ID进行了资源操作PUBLIC

资源公开性操作的资源是否为公开类型ACCESS接口互联网可访问是否外部互联网用户可访问水平权限风险五维模型CHECK安全校验是否验证用户与资源关系DAOACCESS

IDServiceControllerModel!PUBLIC!CHECKDATA大模型Workflow离线规模化风险推理实现ACCESS

ID

DATA!CHECKCHECK!PUBLICLLMWorkflow风险因子识别DSL核心链路推理LLM

Workflow风险因子识别

大模型风险因子打标核心节点与路径查询支付宝客户端支付宝服务端决策层模型层知识层采集层知识图谱+大模型Workflow技术架构DSL推理trservice

db

queryhttp/

mrpctr

calltrservice

tr

callC

apiservice

信息摘要文档主要功能业务逻辑层jsapi

service

C导出组件层流量

应用迭代\开发者通用数据抽取程序分析业务文档分析业务跨端层（小程序）'https/

mrpc安全专家离线任务编排onload

jsapi知识图谱特征回流DB基础能力层(c++)源代码存储切片-------------------⃞C

api

callFile

readapi

callonStart•底层算法瓶颈：核心链路依赖于底层静态分析引擎的准召率，难以进一步提升风险评估效果•评估幻觉问题：单点的风险因子打标可能出现缺失上下文造成的幻觉问题•分析灵活性：无法像安全专家一样灵活调整分析策略，难以应对复杂多变的业务场景与风险。•工程链路与开发成本：整体工程链路长且复杂，不够轻量化，需要有针对性的规则编排，同时DSL也有一定的学习成本•能够有效的支持高耗时的大规模业务风险分析场景，能够支撑当前支付宝每日接口与代码变更量级的风险分析，以及规模化的风险专项扫雷任务•当前采用大模型Workflow离线规模化分析对于水平权限风险的准确率为71.28%，召回率为41.46%大模型Workflow离线规模化风险推理实际效果与面临的问题当前面临的问题当前的实际效果1.大模型风险识别实践大模型Agent在线自主规划风险分析场景ServiceDAOXMLProcessor动态获取Abstract动态模板调用链路通过配置的方式进行AOP切面分析与理解业务流程，安全校验方式风险示例AOP切面中进行对注解配置的AOPProcessor安全处理资源操作ConfigXMLControllercheckParamsequals复杂水平权限风险-分析示例ManagerqueryInfosecquery大模型Agent风险智能探索与分析静态代码分析与切片ControllerconfigXxx非关键代码不深入分析Daoquery......InterceptorRequest@CheckResponse......MybatisXML......ProcessorprocessControllerexecuteSpringConfig存在可控资源ID非公开资源存在安全校验存在资源操作存在安全校验非公开资源接口对外可访问业务/安全文档业务/安全文档业务/安全文档知识图谱动态数据动态数据大模型Agent在线自主风险分析整体架构SupervisorAgent1.更加复杂多变的业务逻辑风险识别2.实时交互的风险评估需求DataflowAnalysisAgentRiskAnalysisAgentEpisodicProceduralGraphRAG

QueryTrafficQuerySemanticWorkingCode

Slice

QueryAKGQueryMultiAgentMemoryAgentTools数据流分析Agent设计TOP-DOWN

:

PLANDOWN-TOP

:

SUMMARY•基于用户目标规划得到方法的分析任务列表

，采用根据goal自顶向下规划待分析的方法

，然后自底向上得到summary，

由此保证上下文的全面性。•整个分析过程基于目标goal自主智能选择分析路径

，例如分析目标为只关注链路中的登录操作，则不会深入分析步骤4的数据模型转化操作

，只会深入递归关注核心的逻辑。数据流分析Agent分析示例风险分析Agent设计PERC执行模式

基于切面化的Agent架构停止序列（Stop

Sequence）解码器引导（Guided

Decoding）<plan>#安全分析计划……</plan><execute>#执行阶段……</execute><reflect>#反思阶段……</reflect><conclusion>#安全分析报告……</conclusion>动态上下文管理流程与步骤可靠性【水平权限分析框架】1.是否外部互联网用户可访问2.是否存在用户可控的敏感资源ID3.是否通过资源ID进行了资源操作4.是否验证用户与资源关系5.操作的资源是否为公开类型<plan>#安全分析计划……</plan><reflect>#反思阶段……</reflect><execute>#执行阶段……</execute><conclusion>#安全分析报告……</conclusion>大模型自回归输出与控制长期记忆（Long-Term

Memory）情景记忆（Episodic

Memory）•

用户交互历史/配置•SDL平台风险评估反馈•事实记忆（Semantic

Memory）•

离线Agent分析的应用/业务知识库

•

业务迭代相关文档、应用信息•程序记忆（Procedural

Memory）•Prompt注册表（PERC执行模式、水平权限分析框架）•

工具注册表

•短期记忆（Short-Term

Memory）工作记忆（WorkingMemory）•

当前核心任务与要求•

可用工具列表•

额外上下文填充•

消息历史与推理过程

•

RetrivalTag

+VectorAgent记忆能力LLM..................文档知识库GraphRAG实体抽取、

子图构建

、

PPR计算等迭代文档、

高质量安全知识文档动态数据采集实时流量与历史清洗流量

前端业务场景埋点知识UI自动化测试与切面链路采集知识图谱推理知识图谱

DSL融合接口，迭代，

数据表，人员信息等知识静态代码分析与切片Tree-Sitter精确匹配优先于模糊匹配与RAGAgent核心工具能力3.资源ID是否用于资源操作：

通过代码自主深入探索分析（复杂的抽象模板类型的Processor调用场景

，静态分析难以解决）4.分析是否存在资源ID与用户身份的校验通过代码业务语义、

校验逻辑与安全注解深入探索分析实战案例5.判断返回资源是否为公开类型基于代码,流量与整体业务场景的理解2.是否有可控的资源ID查询方法代码分析参数类实现1.接口是否对外访问通过图谱查询基础元数据最终进行风险分析总结、

链路可视化与用户交互基于水平权限五维模型经验指导生成计划TP

(True

Positive)：真正例

-正确识别出的代码风险/漏洞TN

(True

Negative)：真负例

-正确识别为安全的代码FP

(False

Positive)：假正例

-误报的风险（将安全代码误判为有风险）FN

(False

Negative)：假负例

-漏报的风险（将有风险的代码误判为安全）•Accuracy

=

(TP

+TN)

/

(TP

+

TN

+

FP

+

FN)•

Precision

=TP/

(TP

+

FP)•

Recall

=TP/

(TP

+

FN)•

Specificity

=TN/

(TN

+

FP)评测驱动智能化工程迭代大模型Agent风险分析自动化样本收集智能化错误分析提示词优化建议•单个接口的风险分析耗时约1-3分钟•当前采用大模型Agent在线自主规划分析能力，在评测样本集中对于水平权限风险识别的准确率为89.5%，召回率为86.2%。在实际的应用

中

，近一个月的准确率为91.7%，召回率为67.5%•当前支付宝域内约86.3%的新增/变更接口安全工程师会通过在线风险评估Agent进行辅助的风险评估与自动化工单录入•长上下文分析注意力：在多轮交互或仓库级代码的完整分析中，模型难以持续保持对关键信息的注意力，易导致上下文丢失与分析片面

，需要更好的上下文工程进行管理•模型幻觉与结果可靠性：Agent在对复杂问题进行深度分析中，尤其是逻辑推理或业务理解上，仍有可能出现幻觉问题

，从而影响分析结论的稳定性大模型在线自主风险分析实际效果与面临的问题当前面临的问题当前的实际效果3.未来展望未来展望高阶程序

HOP（High-Order

Programming）大模型的幻觉与专业领域的可靠性需求：•大模型的局限性：大模型因幻觉导致的可靠性不足（70-80%）难以满足专业领域对精确性的严苛要求。•人类经验的启示：人类通过标准作业程序（SOP）和检查清单等机制实现高可靠性。HOP