共计 1260 个字符,预计需要花费 4 分钟才能阅读完成。
拉斯维加斯 — 美国国防高级研究计划局(DARPA)于周五在拉斯维加斯举行的 DEF CON 黑客大会上,揭晓了其人工智能网络安全挑战赛(AI Cyber Challenge,简称 AIxCC)的最终赢家。这项为期两年的竞赛,旨在评估那些能够自主识别并修补关键基础设施系统中开源代码漏洞的人工智能模型。
亚特兰大队(Team Atlanta)脱颖而出,荣获第一名。该团队汇集了来自佐治亚理工学院、三星研究院、韩国科学技术院和浦项科技大学的顶尖专家。紧随其后的是总部位于纽约的小型企业 Trail of Bits,而由美国和韩国的人工智能研究人员及安全专业人士组成的 Theori 团队则摘得第三名。
DARPA 主任 Stephen Winchell 在大会上向众多观众宣布,七支决赛队伍中开发的四款模型已经可供使用,其余三款将在未来几周内发布。他强调:“我们生活在一个由古老数字架构支撑的世界中。许多代码库、语言和业务方式,以及我们在此基础上构建的一切,多年来都积累了巨大的技术债务。现实是,这是一个超越人类规模的问题,也是一个我们需要立即解决的关键问题。”
开源工具因其免费使用和实施的特性,对关键基础设施的所有者和运营商极具吸引力。然而,其公开可用的代码库性质也使其特别容易成为网络攻击的目标。一旦黑客成功渗透并利用这些漏洞,可能会对公共健康和安全造成连锁反应。
此次竞赛的推动力部分来自于大型语言模型的出现,这些模型推动了流行生成式人工智能工具的发展。Anthropic 和 OpenAI 等主要公司为参赛者提供了他们的模型基础设施。竞赛的核心目标是将人工智能工具整合到能够自动修补开源代码漏洞的模型中,并将其大规模部署给可能面临风险的群体。
AIxCC 的团队成功发现了为竞赛构建的 70 个合成漏洞,以及 18 个以前未知的真实漏洞。后者并非预先植入,而是在团队扫描过程中意外发现的。令人瞩目的是,他们的模型平均在短短 45 分钟内就修补了这些漏洞。
AIxCC 项目经理 Andrew Carney 在 DEF CON 的舞台上表示:“团队们找到了更好、更具创新性的方式来使用这项技术。他们还发现了更多现实世界的问题漏洞 — 真正的漏洞 — 我们正在向维护者披露这些漏洞。”
开源项目 — 这些支撑着无处不在的软件系统 — 依赖社区成员的贡献来保持其更新。更新通常在论坛上由志愿软件维护者讨论,他们就提议的更改进行交流。
历史上,社区实践的前提是所有贡献者都是善意的。然而,这一观念在去年二月受到了挑战,当时一位名为“Jia Tan”的用户试图在 XZ Utils 中悄悄植入后门。XZ Utils 是一种文件传输工具,用于多个 Linux 构建中,这些构建支持全球领先公司的软件。
DARPA 和健康高级研究计划局还额外分配了 140 万美元资金,以帮助进一步实施。每项成功完成的竞赛任务成本为 152 美元,这一数字显著低于人工成本。
DARPA 信息创新办公室主任 Kathleen Fisher 在 DEF CON 的新闻发布会上告诉记者:“今天,世界已经不同了,因为这次竞赛从根本上改变了我们对自动发现或更重要的是修复软件漏洞可能性的理解。”
