Python的NLP实战分享 如何实现合同风险预测模型？ GVA TECH Co., Ltd 藤井美娜 自我介绍 2% |# | self-introduction • Machine Learning Engineer / Data Scientist • GVA TECH的人工智能法律服务AI-CON的多语言系统 开发负责人 inazo18 藤井美娜 目录 CONTENTS CONTENTS 1. Python NLP 入门 2. 多语言NLP攻略 3.“合同风险预测模型”实战经验分享 4. 总结 5% |### | today’s topic 1 Python NLP 入门 简单介绍自然语言处理的流程和使用corpus的EDA方法。 8% |##### | section1 NLP基础 11% |######### | section1 收集语料 前处理 施事者和受事者都会有助词标记， 可以根据助词推测句法结构。 | section2 3“合同风险预测模型” 实战经验分享 64% |################################################################## | section3 什么叫“合同风险预测”？ 68% |###################################

Python的NLP实战分享 如何实现合同风险预测模型？ GVA TECH Co., Ltd 藤井美娜 自我介绍 2% |# | self-introduction • Machine Learning Engineer / Data Scientist • GVA TECH的人工智能法律服务AI-CON的多语言系统 开发负责人 inazo18 藤井美娜 目录 CONTENTS CONTENTS 1. Python NLP 入门 2. 多语言NLP攻略 3.“合同风险预测模型”实战经验分享 4. 总结 5% |### | today’s topic 1 Python NLP 入门 简单介绍自然语言处理的流程和使用corpus的EDA方法。 8% |##### | section1 NLP基础 11% |####### | section1 收集语料 前处理 分词 施事者和受事者都会有助词标记， 可以根据助词推测句法结构。 | section2 3“合同风险预测模型” 实战经验分享 64% |################################################################## | section3 什么叫“合同风险预测”？ 68% |###################################

……………………………… 2 3. 人工智能安全风险分类 …………………………………… 3 3.1 人工智能内生安全风险 ……………………………… 3 3.2 人工智能应用安全风险 ……………………………… 5 4. 技术应对措施 ……………………………………………… 7 4.1 针对人工智能内生安全风险 ………………………… 7 4.2 针对人工智能应用安全风险 ………………………… 9 5. 综合治理措施 1 - 人工智能安全治理框架 人工智能是人类发展新领域，给世界带来巨大机遇，也带来各类风险挑战。 落实《全球人工智能治理倡议》，遵循“以人为本、智能向善”的发展方向，为 推动政府、国际组织、企业、科研院所、民间机构和社会公众等各方，就人工 智能安全治理达成共识、协调一致，有效防范化解人工智能安全风险，制定本 框架。 1. 人工智能安全治理原则 秉持共同、综合、合作、可持续的安全观，坚持发展和安全并重，以促 秉持共同、综合、合作、可持续的安全观，坚持发展和安全并重，以促 进人工智能创新发展为第一要务，以有效防范化解人工智能安全风险为出发点 和落脚点，构建各方共同参与、技管结合、分工协作的治理机制，压实相关主 体安全责任，打造全过程全要素治理链条，培育安全、可靠、公平、透明的人 工智能技术研发和应用生态，推动人工智能健康发展和规范应用，切实维护国 家主权、安全和发展利益，保障公民、法人和其他组织的合法权益，确保人工 智能技术造福于人类。

......................................................................................14 1.3 云原生安全风险...........................................................................................17 二、云原生关键技术威胁全景 .....................................19 图 6 容器镜像安全风险............................................................................. 21 图 7 容器运行时安全风险.................................................... 的安全互相融合，成为统一的整体，并且将经历如下三个发展阶段： （1）安全赋能于云原生体系，构建云原生的安全能力。当前云原生技术发 展迅速，但相应的安全防护匮乏，最基础的镜像安全和安全基线都存在很大的安 全风险。因此，应该将现有的安全能力，如隔离、访问控制、入侵检测、应用安 全等，应用于云原生环境，构建安全的云原生系统； （2）安全产品具有云原生的新特性，如轻/快/不变的基础设施、弹性服务 云原生安全威胁分析与能力建设白皮书

略去某项技术并不表示我们不再关心它。 暂缓 评估 试验 采纳 采纳：我们强烈主张业界采用这些技术。我们会 在适当时候将其用于我们的项目。 试验：值得追求。重要的是理解如何建立这种能 力，企业应该在风险可控的项目中尝试此技术。 评估：为了确认它将如何影响你所在的企业，值 得作一番探究。 暂缓：谨慎推行。 新的 挪进 / 挪出 没有变化 雷达一览 技术雷达持续追踪有趣的技术是如何发展的 长，如用户故事编写辅助、用户研究、电梯演讲和其他基于语言的任务。同时，我们希望开发人员能够负责任 地使用所有这些工具，并且始终掌控主导权，比如 hallucinated dependencies 就是其中一个需要注意的安全 和质量风险。 衡量生产力有多有效 对于非技术人员来说，软件开发有时似乎很神奇，这导致管理者需要努力衡量开发人员在完成其神秘任务时的 生产效率。我们的首席科学家 Martin Fowler 早在 2003 检索增强生成 11. 基于风险的故障建模 12. 大语言模型半结构化自然语言输入 13. 追踪健康债务状况 14. 对告警规则的单元测试 15. CI/CD 的零信任保护 评估 16. 通过依赖健康检查化解包幻觉风险 17. 设计系统决策记录 18. GitOps 19. 大语言模型驱动的自主代理 20. 平台编排 21. 自托管式大语言模型 暂缓 22. 忽略 OWASP 十大安全风险榜单 23. 用于服务端渲染（SSR）web

相同的扩展。 fast 和 stable 频道中发行版本的唯一区别在于，一个发行版本仅会在出现在 fast 频道一段时间 后才会出现在 stable 频道中，这样做可以有更长的时间来发行在更新中可能存在的风险。 在这个延迟后，fast 频道中可用的发行版本始终在 stable 频道中可用。 如果一个更新被支持但不推荐使用意味着什么？ 如果一个更新被支持但不推荐使用意味着什么？ 红帽会持续评估来自多 确定了问题，用户可能不再建议更新路径。但是，即使不推荐更新路径，如果客户执行了更新， 仍然被支持。 红帽不会阻止用户升级到特定版本。红帽可能会声明条件更新风险，这些风险可能不适用于特定 集群。 声明的风险提供有关受支持更新的更多上下文。集群管理员仍可接受该特定目标版本的风险 和更新。虽然在条件风险上下文中不推荐使用这个更新。 如果特定版本的更新不再被推荐意味着什么？ 如果特定版本的更新不再被推荐意味着什么？ 如果因为回 资源中维护此信息，请参 阅"更新可用性评估"部分。 您可以使用以下命令检查所有可用更新： 注意 注意 额外的 --include-not-recommended 参数包括可用的更新，但不推荐因为应用到 集群的已知风险而不建议这样做。 输出示例 出示例 oc adm upgrade 命令查询 ClusterVersion 资源以获取可用更新的信息，并以人类可读格式显示 它。 直接检查 CVO 创建的底层可用性数据的一种方法是，使用以下命令查询

案、法律意见书等，提高律师工作效率。 • 智能医疗数据分析与诊断：构建智能医疗 平台，分析病历、检查报告和基因数据，帮助 医生提供更准确的诊断与治疗方案。 • 金融风险预测与管理：开发金融风险分析 工具，收集并分析市场数据，预测风险并为金 融机构提供管理建议。 • 智能文学创作辅助：为作家提供创作灵感 和文本构思，生成符合中文文学传统的故事情 节和诗句，助力突破创作瓶颈。 • 智能广告创意生成：根据产品特点和目标 无数据检索：以现有真实数据库作为支撑，通过关键词 检索，自动搜集相关文献并生成综述报告，目前只支持 英文检索。  低重复率：结合现有查重机制与AI技术，在内容生成阶 段引入重复检测与优化策略，从源头上降低重复率风险， 所生成的综述普通重复率与AIGC重复率均在5%以下。  无限双语数据导入：支持中文与英文文献的导入，并且 文献数据量没有限制，能够轻松处理中文文献的系统性 梳理，以及国际文献的跨语言分析。 1 3 4 自动化处理财务报表，挖掘隐藏的投资机会， 评估潜在风险，优化资产配置策略。 数据分析 DeepResearch整合全球金融市 场动态，实时追踪行业趋势，为 投资者提供深度分析。 市场洞察 运用先进算法预测市场走势，辅助金融机 构和个人投资者做出更明智的选择。 智能预测 一键生成专业级投资风险评估报告， 支持定制化需求，提升决策效率。 报告生成 通过自动化

云原生应用安全风险面 第三方组件 开源组件 应用安全 风险面 Web通用漏洞 SQL注入、命令执行、XXE、XSS等OWASP TOP10 业务逻辑漏洞 水平/垂直越权、短信轰炸、批量注册、验 证码绕过等 合规需求、安全配置 未能满足安全合规、未建立安全基线、敏 感数据泄漏 开源组件/闭源组件 CNNVD、CNVD、CVE等 开源许可风险 自研代码 容器环境镜像风险 软件漏洞、恶意程序、敏感信息泄漏、不安全配 物 理 机 > 虚 拟 化 > 容 器 化 聚焦到应用系 统风险源头 API安全性 失效的用户认证、安全性、错误配置、注入等 闭源组件 软件物料清单的描述 软件物料清单（SBOM, Software Bill Of Material）是云原生时代应用风险治理的基础设施。 特点： • 是治理第三方组件风险（开源+闭源）的必备工具； • 可深度融合于DevOps应用生产模式； 软件运营商使用SBOM为漏洞管理和资产管理提供信息，管理许可和 合规性，并快速识别软件和组件依赖关系以及供应链风险。 2）从企业角色类型来看，对SBOM有不同的使用需求： 〇 开发团队：用于管理软件资产，在开发早期即可评估安全风险，筛选 适合的组件/软件，并持续更新SBOM； 〇 安全团队：通过提交的SBOM分析软件风险，并通过统一管理进行持 续监控，及时响应安全事件； 〇 法务团队：核查软件授权问题，避免后续公司业务自身权益受到损害。

应用流量占整个TCP 流量的81.1% q B/S居统治地位：网上银行、电子商务、电子政务、证劵、 手机上网 3 1.2.安全威胁 1.2.安全威胁 n SANS年发布的全球20大安全风险排行榜上，Web应 用安全漏洞名列前茅，攻击者利用最多的漏洞是SQL 注入及跨站脚本 n 根据国家计算机网络应急技术处理协调中心(简称 CNCERT/CC)上半年的工作报告显示，网站漏洞百出， Power Injecto 、SQLNinja q ASP、JSP注入：NBSI3.0、啊d注入工具、小明王注入工具等 q PHP注入：穿山甲、海阳顶端 21 SQL注入DEMO 风险 n 数据表中的数据外泄，例如个人机密数据，帐户数据，密码 n 数据结构被黑客获取，得以做进一步攻击（例如SELECT * FROM sys.tables） n 数据库服务器攻击，系统管理员帐户篡改（例如ALTER 取用户的cookie等个人数据、将用户导向恶意网站 等等 27 原理 28 n反射型XSS 原理 29 n 存储型XSS 留言板 拍卖网站的商品资料介绍 博客自我介绍 使用者自行输入部分 …… 跨站脚本DEMO 风险 n 盗取各类用户帐号，如网银、管理员等帐号 n 欺骗浏览器访问钓鱼网站，以骗取账号密码等 个人信息 n 将使用者浏览器导向恶意网站，向使用者计算 机下载并安装恶意后门程序 防护方法

使用Dockerfile进行云原生方式的CI构建， 拓展形成ARM、x86双架构流水线，底层 安全漏洞统一修复 全面云原生安全 支持代码安全扫描、镜像安全扫描、开源 协议扫描、依赖漏洞扫描。并可给出修复 建议。支持开源风险持续治理。 108 48 78 6 84 1 1 16 14 0 50 100 150 200 250 本单位 省公司 省公司（直投） 专业公司 入驻项目数 工程类 安全需求基线 威胁情报库 病例库 安全开发-安全需求分析 安全需求分析通过将安全策略左移至软件开发生命周期的初始阶段，着重在需求设计环节确定关键安全要求，旨在降低风险暴露 并增强产品安全质量。安全团队针对企业内部的业务流程和场景展开威胁建模与风险识别，同时依据实际生产漏洞的运营情况完 善威胁建模知识库，持续优化和维护内部安全需求知识库以适应不断变化的安全挑战。 ①需求分析阶段，分析业务需求，选择相应的安全需求 ②根据安全需求清单选择安全设计要求，整理为安全设 计清单 ③编码阶段，研发人员基于安全设计文档，落实与本次 需求相关的安全设计要求 安全开发-软件成分分析SCA 开源软件帮助企业快速提升信息化水平，也引入新风险。开源技术应用、国际形势复杂、软件供应链的多样化， 供应链各个环节的攻击急剧上升，已然成为企业主要的安全威胁。 缺点 低误报率 高检出率 集成灵活 只能检测已知 漏洞 优点 可见 100%资产覆盖