中美共識，欲用AI檢測系統(tǒng)漏洞

大多數(shù)網(wǎng)絡(luò)安全事件是軟件代碼錯誤的結(jié)果，黑客有名的零日攻擊，利用未知的漏洞滲透到計算機(jī)系統(tǒng)，Stuxnet是針對伊朗鈾濃縮計劃中的計算機(jī)病毒，是零日攻擊的著名例子。

然而，每年寫入數(shù)十億行代碼，捕獲和糾正每個系統(tǒng)漏洞都很困難。美國和中國的研究人員認(rèn)為人工智能或許可以提供解決方案。

到目前為止，隨著漏洞的數(shù)量不斷增加，人力已大大跟不上進(jìn)度。美國軍方研究機(jī)構(gòu)國防高級研究計劃局（Defense Advanced Research Projects Agency）的項(xiàng)目經(jīng)理桑迪普·尼瑪（Sandeep Neema）表示：“軟件中的漏洞并沒有減少，這是令人擔(dān)憂和具有挑戰(zhàn)性的。”該機(jī)構(gòu)已花費(fèi)數(shù)百萬美元資助開發(fā)人工智能系統(tǒng)用來檢測軟件缺陷。

當(dāng)前的軟件檢查技術(shù)有點(diǎn)像文字處理器中的拼寫檢查，識別印刷或語法錯誤。在將新軟件付諸實(shí)踐之前，開發(fā)人員通常還會審查彼此的代碼并運(yùn)行測試。

“就我們?nèi)绾翁岣哕浖|(zhì)量而言，最先進(jìn)的技術(shù)仍然是測試驅(qū)動的，”Neema先生說。這些方法的問題在于沒有發(fā)現(xiàn)許多錯誤，即使開發(fā)時間的50％到75％通常用于測試。AI bug探測器有望使開發(fā)人員的審查代碼更準(zhǔn)確，減少勞動強(qiáng)度。

“它確實(shí)減少了花在尋找那些高優(yōu)先級漏洞上的時間，”機(jī)器學(xué)習(xí)科學(xué)家Rebecca Russell說道，她在Drapa實(shí)驗(yàn)室?guī)椭O(shè)計的人工智能系統(tǒng)得到了Darpa的資助。根據(jù)Russell女士及其同事今年夏天發(fā)表的一篇研究論文，Draper的系統(tǒng)掃描軟件以識別程序的哪些部分包含漏洞，其性能優(yōu)于使用靜態(tài)分析的三種工具，這是最好的軟件審查方法之一。

該項(xiàng)目的技術(shù)總監(jiān)Marc McConley表示，該實(shí)驗(yàn)室目前正在與美國國防部的各個部門合作，以尋找該技術(shù)的應(yīng)用?！八麄冎饕獡?dān)心的是保護(hù)他們的大型軟件系統(tǒng)免受網(wǎng)絡(luò)攻擊，”

雖然這項(xiàng)研究處于初期階段，但德雷珀還在開發(fā)能夠自動修復(fù)軟件故障的人工智能。多倫多大學(xué)計算機(jī)科學(xué)助理教授范龍也從事自動軟件修復(fù)工作，他表示，未來幾年可能會出現(xiàn)商業(yè)上可行的自動修復(fù)常規(guī)錯誤的工具?！敖鉀Q許多這些錯誤并不是很有創(chuàng)意，人們往往會在類似的系統(tǒng)上犯同樣的錯誤，“龍教授說。

中國的國家機(jī)構(gòu)也資助了研究，以生產(chǎn)AI錯誤檢測系統(tǒng)。德克薩斯大學(xué)圣安東尼奧分校的計算機(jī)科學(xué)教授Shouhuai Xu表示，當(dāng)對四種“非常廣泛使用的”商業(yè)軟件產(chǎn)品進(jìn)行測試時，該系統(tǒng)發(fā)現(xiàn)了10個尚未檢測到的漏洞，該系統(tǒng)由一組學(xué)者開發(fā)。

這些隱藏在存在安全風(fēng)險的缺陷上的工具仍處于開發(fā)階段，但一些公司已經(jīng)在使用AI進(jìn)行一般軟件掃描。例如，視頻游戲制造商育碧（Ubisoft）在3月份發(fā)布了一款工具，該工具使用AI在實(shí)施之前標(biāo)記可能存在錯誤的代碼。該公司總部位于蒙特利爾的研究實(shí)驗(yàn)室負(fù)責(zé)人Yves Jacquier表示，他們的工具在測試期間將開發(fā)時間縮短了20％，并且公司計劃在今年年底之前進(jìn)行“重大”推廣。

Darpa關(guān)于錯誤檢測的工作是一個名為Muse的程序的一部分，該程序還在更廣泛的類別中稱為“大代碼”，以促進(jìn)AI研究。該字段基于與“大數(shù)據(jù)”大致相同的原則，檢查大量代碼庫以生成見解并學(xué)習(xí)如何編寫更好的代碼。它旨在通過創(chuàng)建首先具有較少缺陷的代碼來解決另一方面的軟件問題。

生成海報

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）