“零日攻擊”——利用以前未知的漏洞侵入計(jì)算機(jī)系統(tǒng)

在報(bào)告的每10起網(wǎng)絡(luò)安全事件中，有9起是軟件代碼錯(cuò)誤的結(jié)果。黑客特別重視所謂的“零日攻擊”(zero-day attack)——利用以前未知的漏洞侵入計(jì)算機(jī)系統(tǒng)。針對(duì)伊朗鈾濃縮計(jì)劃的計(jì)算機(jī)病毒“震網(wǎng)”(Stuxnet)，就是“零日攻擊”的著名例子。

然而，每年有數(shù)十億行的代碼被編寫，發(fā)現(xiàn)和糾正每個(gè)錯(cuò)誤非常困難。美國和中國的研究人員認(rèn)為，人工智能有望提供解決方案。

到目前為止，人類的努力未能跟上步伐。如果說有什么變化的話，那就是缺陷數(shù)量有增無減。例如，分析開源軟件的《Coverity Scan Report》去年收集的數(shù)據(jù)似乎表明，漏洞數(shù)量在增加。

美國軍方研究機(jī)構(gòu)——國防高級(jí)研究計(jì)劃局(Defense Advanced Research Projects Agency, DARPA)的項(xiàng)目經(jīng)理桑迪普?尼瑪(Sandeep Neema)表示：“軟件中的漏洞并沒有減少，這令人擔(dān)憂并帶來挑戰(zhàn)。”該機(jī)構(gòu)已支出數(shù)百萬美元資助開發(fā)工作，目的是開發(fā)能夠檢測軟件漏洞的人工智能(AI)系統(tǒng)。

當(dāng)前的軟件檢查技術(shù)有點(diǎn)像文字處理軟件中的拼寫檢查，識(shí)別拼寫或句法錯(cuò)誤。在投放新軟件之前，開發(fā)人員通常還會(huì)審查彼此的代碼并進(jìn)行測試。

尼瑪表示：“就我們?nèi)绾翁岣哕浖|(zhì)量而言，最先進(jìn)的方法仍然是測試驅(qū)動(dòng)的?！彼f，這些方法的問題在于有許多差錯(cuò)漏網(wǎng)——即使50%到75%的開發(fā)時(shí)間通常用于測試。AI漏洞探測器有望讓開發(fā)人員更準(zhǔn)確地審查代碼，并減少他們的勞動(dòng)強(qiáng)度。

機(jī)器學(xué)習(xí)科學(xué)家麗貝卡?拉塞爾(Rebecca Russell)在談到她幫助德雷珀實(shí)驗(yàn)室(Draper Laboratory)設(shè)計(jì)的AI系統(tǒng)時(shí)表示：“它確實(shí)減少了他們花在尋找那些高優(yōu)先級(jí)漏洞上的時(shí)間?！痹擁?xiàng)目得到DARPA的資助。根據(jù)麗貝卡及其同事今年夏天發(fā)表的一篇研究論文，德雷珀的系統(tǒng)掃描軟件以識(shí)別程序的哪些部分包含漏洞，其性能優(yōu)于采用靜態(tài)分析（當(dāng)前可用的最佳軟件審查方法之一）的三種工具。

該項(xiàng)目的技術(shù)總監(jiān)馬克?麥考利(Marc McConley)表示，德雷珀實(shí)驗(yàn)室目前正在與美國國防部的各個(gè)部門合作，以尋找該技術(shù)的應(yīng)用領(lǐng)域。他說：“他們主要關(guān)心的是保護(hù)他們的大型軟件系統(tǒng)免受網(wǎng)絡(luò)攻擊，諸如此類的事情?！?/p>

但德雷珀也在開發(fā)能夠自動(dòng)修復(fù)軟件漏洞的AI系統(tǒng)，雖然這項(xiàng)研究處于更早期的階段。多倫多大學(xué)(University of Toronto)計(jì)算機(jī)科學(xué)助理教授龍凡也從事自動(dòng)軟件修復(fù)工作，他表示，未來幾年很可能會(huì)出現(xiàn)商業(yè)上可行的自動(dòng)修復(fù)常規(guī)錯(cuò)誤的工具。龍凡說：“修復(fù)這些差錯(cuò)中的很多差錯(cuò)并不需要很有創(chuàng)意。人們傾向于在類似的系統(tǒng)上犯類似的錯(cuò)誤?！?/p>

中國政府機(jī)構(gòu)也資助了漏洞檢測AI系統(tǒng)的研發(fā)。德克薩斯大學(xué)圣安東尼奧分校(University of Texas at San Antonio)的計(jì)算機(jī)科學(xué)教授徐壽懷表示，在對(duì)4種“非常廣泛使用的”商業(yè)軟件產(chǎn)品進(jìn)行測試時(shí)，該系統(tǒng)發(fā)現(xiàn)了10個(gè)尚未檢測到的漏洞。徐壽懷和一些中國學(xué)者開發(fā)了該系統(tǒng)。鑒于此類漏洞可用于“零日攻擊”，徐壽懷拒絕進(jìn)一步透露其團(tuán)隊(duì)發(fā)現(xiàn)的漏洞的細(xì)節(jié)。

這些檢測安全風(fēng)險(xiǎn)缺陷的工具仍處于開發(fā)階段，但一些公司已經(jīng)在使用AI進(jìn)行一般軟件掃描。例如，視頻游戲制造商育碧(Ubisoft)在今年3月發(fā)布了一款工具，使用AI在軟件實(shí)施前標(biāo)出存在錯(cuò)誤的代碼。該公司位于蒙特利爾的研究實(shí)驗(yàn)室負(fù)責(zé)人伊夫?雅基耶(Yves Jacquier)表示，他們的工具在測試期間將開發(fā)時(shí)間縮短了20%，公司計(jì)劃在今年底之前進(jìn)行“重大”推出。

DARPA檢測漏洞的工作是“Muse計(jì)劃”的一部分，該計(jì)劃還在被稱為“大代碼”的更廣泛類別中促進(jìn)AI研究。該領(lǐng)域基于與“大數(shù)據(jù)”大致相同的原則，考察海量代碼庫以生成見解，并學(xué)習(xí)如何編寫更好的代碼。它旨在從另一面解決軟件問題——通過創(chuàng)建從一開始就漏洞較少的代碼。