中美共識，欲用AI檢測系統(tǒng)漏洞

2018-09-27 16:47

佛系袁

關(guān)注

大多數(shù)網(wǎng)絡(luò)安全事件是軟件代碼錯誤的結(jié)果，黑客有名的零日攻擊，利用未知的漏洞滲透到計算機(jī)系統(tǒng)，Stuxnet是針對伊朗鈾濃縮計劃中的計算機(jī)病毒，是零日攻擊的著名例子。

然而，每年寫入數(shù)十億行代碼，捕獲和糾正每個系統(tǒng)漏洞都很困難。美國和中國的研究人員認(rèn)為人工智能或許可以提供解決方案。

到目前為止，隨著漏洞的數(shù)量不斷增加，人力已大大跟不上進(jìn)度。美國軍方研究機(jī)構(gòu)國防高級研究計劃局（Defense Advanced Research Projects Agency）的項目經(jīng)理桑迪普·尼瑪（Sandeep Neema）表示：“軟件中的漏洞并沒有減少，這是令人擔(dān)憂和具有挑戰(zhàn)性的。”該機(jī)構(gòu)已花費數(shù)百萬美元資助開發(fā)人工智能系統(tǒng)用來檢測軟件缺陷。

當(dāng)前的軟件檢查技術(shù)有點像文字處理器中的拼寫檢查，識別印刷或語法錯誤。在將新軟件付諸實踐之前，開發(fā)人員通常還會審查彼此的代碼并運行測試。

“就我們?nèi)绾翁岣哕浖|(zhì)量而言，最先進(jìn)的技術(shù)仍然是測試驅(qū)動的，”Neema先生說。這些方法的問題在于沒有發(fā)現(xiàn)許多錯誤，即使開發(fā)時間的50％到75％通常用于測試。AI bug探測器有望使開發(fā)人員的審查代碼更準(zhǔn)確，減少勞動強(qiáng)度。

“它確實減少了花在尋找那些高優(yōu)先級漏洞上的時間，”機(jī)器學(xué)習(xí)科學(xué)家Rebecca Russell說道，她在Drapa實驗室?guī)椭O(shè)計的人工智能系統(tǒng)得到了Darpa的資助。根據(jù)Russell女士及其同事今年夏天發(fā)表的一篇研究論文，Draper的系統(tǒng)掃描軟件以識別程序的哪些部分包含漏洞，其性能優(yōu)于使用靜態(tài)分析的三種工具，這是最好的軟件審查方法之一。

該項目的技術(shù)總監(jiān)Marc McConley表示，該實驗室目前正在與美國國防部的各個部門合作，以尋找該技術(shù)的應(yīng)用。“他們主要擔(dān)心的是保護(hù)他們的大型軟件系統(tǒng)免受網(wǎng)絡(luò)攻擊，”

雖然這項研究處于初期階段，但德雷珀還在開發(fā)能夠自動修復(fù)軟件故障的人工智能。多倫多大學(xué)計算機(jī)科學(xué)助理教授范龍也從事自動軟件修復(fù)工作，他表示，未來幾年可能會出現(xiàn)商業(yè)上可行的自動修復(fù)常規(guī)錯誤的工具。“解決許多這些錯誤并不是很有創(chuàng)意，人們往往會在類似的系統(tǒng)上犯同樣的錯誤，“龍教授說。

中國的國家機(jī)構(gòu)也資助了研究，以生產(chǎn)AI錯誤檢測系統(tǒng)。德克薩斯大學(xué)圣安東尼奧分校的計算機(jī)科學(xué)教授Shouhuai Xu表示，當(dāng)對四種“非常廣泛使用的”商業(yè)軟件產(chǎn)品進(jìn)行測試時，該系統(tǒng)發(fā)現(xiàn)了10個尚未檢測到的漏洞，該系統(tǒng)由一組學(xué)者開發(fā)。

這些隱藏在存在安全風(fēng)險的缺陷上的工具仍處于開發(fā)階段，但一些公司已經(jīng)在使用AI進(jìn)行一般軟件掃描。例如，視頻游戲制造商育碧（Ubisoft）在3月份發(fā)布了一款工具，該工具使用AI在實施之前標(biāo)記可能存在錯誤的代碼。該公司總部位于蒙特利爾的研究實驗室負(fù)責(zé)人Yves Jacquier表示，他們的工具在測試期間將開發(fā)時間縮短了20％，并且公司計劃在今年年底之前進(jìn)行“重大”推廣。

Darpa關(guān)于錯誤檢測的工作是一個名為Muse的程序的一部分，該程序還在更廣泛的類別中稱為“大代碼”，以促進(jìn)AI研究。該字段基于與“大數(shù)據(jù)”大致相同的原則，檢查大量代碼庫以生成見解并學(xué)習(xí)如何編寫更好的代碼。它旨在通過創(chuàng)建首先具有較少缺陷的代碼來解決另一方面的軟件問題。