5月30日，电子科技大学网络空间安全学院&Yaklang.io 团队，在北京·国家会议中心进行其主题为“开放共享，自主可控”的 YAK 开源发布会。

网络安全与开源，始终存在着不解之缘。除了商业安全产品中使用的大量开源代码外，网络安全行业中大量的安全框架、工具、方法、模型甚至情报都以开源的形式分享和发展。在行业发展的过去的很长一段时间里，我们发现，开源产品和商业产品二者间的界限越来越模糊。最重要的是，开源是一种精神，我们看到开源的力量正在鼓励行业内的知识共享、技术创新。对于 YAK 而言，这是一个“蓄谋已久”的决定，也是一次全新的尝试。

“开放共享 · 自主可控”的主题，是中国当下信息化产业建设的时代缩影。网络安全行业需要创新，需要实践，需要自下而上打造“一站式”的安全能力基座。

张院长表示：“当前的网络安全环境面临的威胁和攻击在不断的增长，面对范围更广、技术更强、危害更大的新型网络攻击手段的防范， 新技术的开发与应用尤为重要，以‘智感、透析、活现、反制’为核心要素的主动安全，是保护网络和系统安全的重要工程模型。在开源共享平台的基础上，通过底层的创新，能有效提高网络的安全性和应对能力， 推动安全技术的进步和演化，提高对新型攻击的识别和应对能力，建立更强大、更可靠的网络安全防御体系。”

透明、合作、知识共享的开源模式，为技术创新和协作提供了强大的平台。CDSL-YAK 语言在网络安全领域的开源，也希望将其优势发扬，做网络安全新基建，助力安全能力融合。

YAK 为什么要开源？

我们需要“秉持开放共享的开源精神

坚定自主可控的目标决心”

让安全能力在一个维度互补、融合、进化，是团队正在做的事，也是团队追求的终极目标。

yaklang.io 目标：

?实现安全产品的能力基础设施

?提供安全产品所需的原子能力

?从而让安全产品降低研发成本

完成这个目标，姬锦坤带领团队做出的选择，是安全领域语言 CDSL，在网络安全的针对性优化，让 YAK 具有图灵完备特性，亦可提供与 GPL 的桥接能力。全面拥抱开源的方式，使得 YAK 有能力打破 Burp Suite 垄断，并完成网络安全领域首套模糊测试解决方案。

相信今后同步进行的四步走战略：

1.Yaklang 兼容 Nuclei 与 NASL

2.Yakit 国际化

3.Yaklang.io 高校计划

4.YakLab 实验室计划

会引领安全迈向更好的未来。

网安专属，ChatCS 有问必答

经过模型压缩后，ChatCS 能够在单张消费级显卡上实现流畅推理，并且支持用户离线部署以及内部知识库融合等功能。结合涵盖了网络安全领域各类标准数据及漏洞情报数据的网络安全领域知识图谱，ChatCS 针对网络安全领域问题的问答已初具效果。

ChatCS BETA 版将率先作为 Yakit 的 Copilot 插件上线，在用户的日常网络安全工作中，为用户提供安全知识问答/漏洞情报检索/扫描数据分析等功能

司红星回答到：“ChatCS 需要和更多的安全设备联动，我们希望和行业里面所有厂商进行协作，然后去共同打造中国的安全 Copliot，而不是自己一个人思考。坚持开源，与社区用户进行共享，让 Copliot 变得更具智能化，也更具行业特色。”

打磨漏洞验证体系，全面打击涉网犯罪

来自无糖信息联合创始人兼 CTO 童永鳌带来的议题《涉网犯罪对抗下的漏洞验证工具》主要从两个方面对技术进行的探讨！

?怎么能让不是涉网犯罪打击人员（非专业网络安全人员）更加方便的使用漏洞验证工具？

?怎么能让他们既可以发挥实战价值，又可以完成学习的过程，参与 POC 的开发？

涉网犯罪持续高发，对涉网犯罪的打击、溯源与综合治理工作是一个全面技术对抗的过程。漏洞验证技术与工具也在该过程中发挥着极其重要的作用。相较于常规的安全评估工作，在犯罪对抗的场景下需要对漏洞验证工具在易用性、武器化、学习引导等方面提出更高地要求。

基于内网渗透，缔造现代化系统

以攻促防，是企业安全建设的重要手段。《从零构建一个现代化C2系统》是站在攻击者的角度，为内网渗透带来一大利器。长亭科技全栈安全开发专家张子墨主要从 Cobaltstike 本身存在的问题出发，从根本上解决红队的需求问题，将 Go 与 Rust 联动，降本增效打造了全新的 C2 系统骨架。并通过模板化开发和云编译系统来实现了相关功能，其中以 BOF 功能为例详细讲述了模块的开发流程。

未来 C2 还将继续完善插件生态，提升用户使用体验，最终替代并超越 cs 在内网渗透中的使用。

关注大模型技术，助力安全再进一步

《基于 LLM 底座的安全探索》，是百度安全事业部AI安全负责人林道正为本次会议带来的全局性议题。

大模型的关键要素主要有五点，即：数据、算力、模型架构、微调、RLHF。

在安全应用场景专业检索中，如何科学地构造 Prompt 是一直关注的问题！可以通过安全合规模型，自动化进行TARA 分析发现潜在威胁以及合规流程上的差距，给出安全建议，输出安全需求。

安全运营模型功能：

1.安全事件分析，自动化的根据安全事件日志进行溯源；

2.安全攻防，自动生成修复建议与修复脚本，完成安全事件处置的闭环流程；

3.威胁情报提取，根据车端云端环境，从漏洞库的大量数据中筛选平台相关威胁情报信息；

4.专家客服，简单的人机交互式安全运营客服，运维人员无需了解平台功能细节即可对安全事件进行应急响应。

圆桌会议：网络安全大语言模型的应用探索

大语言模型，以极短的时间风靡全球。圆桌环节，就网络安全大语言模型展开了专业探讨。

主持人：工业和信息化部信息中心 网络安全产业推进部总工李吉音博士（左一）

与会嘉宾：常春藤资本投资副总裁季翔（左二）、四维创智创始人CEO司红星（左三）、国家电网红队总队长王文辉（右三）、凌云科技CEO白应东（右二）、安胜华信合伙人乔幕凡（右一）。

探索内容

1. 生成式人工智能发展到现在，它能够降低研发的成本，能够提高我们的生产力，提高人员从业的能力。那么我们这种大语言模型是不是存在一些能力边界？

2. 大语言模型在现阶段存在哪些风险挑战，以及如何应对？

3. 从人才、从技术产业、教育融合发展的角度，我们网络安全、数据安全或者说我们数字中国2522整体框架下的数字安全最终会走向何方？

探索技术，突破共赢

技术不是孤岛

自主可控并非闭塞

安全行业的进步需要人与人的交流碰撞

需要携手共进的“灵光乍现”

更需要开放共享

希望我们

热情不止，探索不止

开辟道路，突破共赢

YakLang.io团队简介：

YakLang.io开发团队专注于开源社区，始终坚持"做难而正确的事"。其自研国产化的YAK语言为网络安全领域提供了非常强大的安全能力，是绝大部分"数据描述语言/容器语言"的超集。团队凭借先进的技术理念和对行业不变的热情，帮助用户进行安全能力建设，帮助用户应对变化多端的互联网安全威胁。

更多YAK语言信息：

官网主页：https://www.yaklang.com

YAK语法：https://www.yaklang.com/docs/yak-basic/intro