中美共識,欲用AI檢測系統(tǒng)漏洞

大多數(shù)網(wǎng)絡安全事件是軟件代碼錯誤的結(jié)果,黑客有名的零日攻擊,利用未知的漏洞滲透到計算機系統(tǒng),Stuxnet是針對伊朗鈾濃縮計劃中的計算機病毒,是零日攻擊的著名例子。

然而,每年寫入數(shù)十億行代碼,捕獲和糾正每個系統(tǒng)漏洞都很困難。美國和中國的研究人員認為人工智能或許可以提供解決方案。

到目前為止,隨著漏洞的數(shù)量不斷增加,人力已大大跟不上進度。美國軍方研究機構(gòu)國防高級研究計劃局(Defense Advanced Research Projects Agency)的項目經(jīng)理桑迪普·尼瑪(Sandeep Neema)表示:“軟件中的漏洞并沒有減少,這是令人擔憂和具有挑戰(zhàn)性的。”該機構(gòu)已花費數(shù)百萬美元資助開發(fā)人工智能系統(tǒng)用來檢測軟件缺陷。

當前的軟件檢查技術(shù)有點像文字處理器中的拼寫檢查,識別印刷或語法錯誤。在將新軟件付諸實踐之前,開發(fā)人員通常還會審查彼此的代碼并運行測試。

“就我們?nèi)绾翁岣哕浖|(zhì)量而言,最先進的技術(shù)仍然是測試驅(qū)動的,”Neema先生說。這些方法的問題在于沒有發(fā)現(xiàn)許多錯誤,即使開發(fā)時間的50%到75%通常用于測試。AI bug探測器有望使開發(fā)人員的審查代碼更準確,減少勞動強度。

“它確實減少了花在尋找那些高優(yōu)先級漏洞上的時間,”機器學習科學家Rebecca Russell說道,她在Drapa實驗室?guī)椭O計的人工智能系統(tǒng)得到了Darpa的資助。根據(jù)Russell女士及其同事今年夏天發(fā)表的一篇研究論文,Draper的系統(tǒng)掃描軟件以識別程序的哪些部分包含漏洞,其性能優(yōu)于使用靜態(tài)分析的三種工具,這是最好的軟件審查方法之一。

該項目的技術(shù)總監(jiān)Marc McConley表示,該實驗室目前正在與美國國防部的各個部門合作,以尋找該技術(shù)的應用。“他們主要擔心的是保護他們的大型軟件系統(tǒng)免受網(wǎng)絡攻擊,”

雖然這項研究處于初期階段,但德雷珀還在開發(fā)能夠自動修復軟件故障的人工智能。多倫多大學計算機科學助理教授范龍也從事自動軟件修復工作,他表示,未來幾年可能會出現(xiàn)商業(yè)上可行的自動修復常規(guī)錯誤的工具?!敖鉀Q許多這些錯誤并不是很有創(chuàng)意,人們往往會在類似的系統(tǒng)上犯同樣的錯誤,“龍教授說。

中國的國家機構(gòu)也資助了研究,以生產(chǎn)AI錯誤檢測系統(tǒng)。德克薩斯大學圣安東尼奧分校的計算機科學教授Shouhuai Xu表示,當對四種“非常廣泛使用的”商業(yè)軟件產(chǎn)品進行測試時,該系統(tǒng)發(fā)現(xiàn)了10個尚未檢測到的漏洞,該系統(tǒng)由一組學者開發(fā)。

這些隱藏在存在安全風險的缺陷上的工具仍處于開發(fā)階段,但一些公司已經(jīng)在使用AI進行一般軟件掃描。例如,視頻游戲制造商育碧(Ubisoft)在3月份發(fā)布了一款工具,該工具使用AI在實施之前標記可能存在錯誤的代碼。該公司總部位于蒙特利爾的研究實驗室負責人Yves Jacquier表示,他們的工具在測試期間將開發(fā)時間縮短了20%,并且公司計劃在今年年底之前進行“重大”推廣。

Darpa關于錯誤檢測的工作是一個名為Muse的程序的一部分,該程序還在更廣泛的類別中稱為“大代碼”,以促進AI研究。該字段基于與“大數(shù)據(jù)”大致相同的原則,檢查大量代碼庫以生成見解并學習如何編寫更好的代碼。它旨在通過創(chuàng)建首先具有較少缺陷的代碼來解決另一方面的軟件問題。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )

贊助商
2018-09-27
中美共識,欲用AI檢測系統(tǒng)漏洞
大多數(shù)網(wǎng)絡安全事件是軟件代碼錯誤的結(jié)果,黑客有名的零日攻擊,利用未知的漏洞滲透到計算機系統(tǒng),Stuxnet是針對伊朗鈾濃縮計劃中的計算機病毒,是零日攻擊的著名例子。

長按掃碼 閱讀全文