人工智能网络安全工具发现隐藏的软件漏洞

去年 8 月，人工智能和网络安全的交叉点达到了关键时刻，精英安全团队齐聚拉斯维加斯，进行了一场开创性的竞赛。由国防高级研究计划局 (DARPA) 主办的人工智能网络挑战 (AIxCC) 展示了人工智能驱动的错误查找系统的尖端功能，旨在在攻击者利用软件代码之前识别软件代码中的漏洞。事实证明，这次演示既令人印象深刻又令人不安，揭示了自动化安全工具在日益数字化的世界中的双刃性质。

从各个方面来说，比赛的规模都非常宏大。 DARPA 为参与团队提供了 5400 万行实际软件代码，故意植入人工缺陷来测试系统的检测能力。竞赛不仅仅是为了找到每个植入的漏洞，而是为了了解这些人工智能安全工具在现实条件下的表现如何。团队投入数月时间完善机器学习算法、训练神经网络并优化检测模式，以最大限度地提高针对注入漏洞的有效性。

拉斯维加斯竞赛的结果甚至令出席的最有经验的网络安全专业人士感到惊讶。虽然参赛团队的自动化工具成功识别了 DARPA 故意插入代码库的大部分人为错误，但他们并没有就此止步。复杂的人工智能漏洞检测系统超出了其指定的任务，发现了十多个 DARPA 根本没有植入的真正错误。这些不是误报或无害的异常 - 它们是真实的软件代码中潜伏的真实的、可利用的安全缺陷。