2024年8月,美國國防部高級研究計劃局 DARPA 發(fā)起的 AIxCC 人工智能網(wǎng)絡(luò)安全挑戰(zhàn)賽將迎來半決賽。該賽事將大語言模型等最新AI技術(shù)引入網(wǎng)絡(luò)安全競賽,希望驗證大語言模型技術(shù)在智能攻防領(lǐng)域的應(yīng)用價值,孕育出一個針對開源代碼的自動化漏洞發(fā)現(xiàn)系統(tǒng),智能挖掘、檢測和修復(fù)關(guān)鍵基礎(chǔ)設(shè)施的軟件安全問題。
在大模型技術(shù)突飛猛進(jìn)的今天,作為一個具有極高戰(zhàn)略視野的機(jī)構(gòu),DARPA再一次將目光鎖定在人工智能和網(wǎng)絡(luò)安全領(lǐng)域,他們要如何顛覆AI自動化攻防技術(shù)創(chuàng)新?
新一代信息技術(shù)革命浪潮下,我們又應(yīng)如何加速創(chuàng)新技術(shù)孵化,縮小與美國網(wǎng)絡(luò)安全產(chǎn)業(yè)界間的技術(shù)差距?本文我們將通過觀察分析DARPA的一系列探索實踐,分享永信至誠的思考。
DARPA試圖“改變游戲規(guī)則”
以“舉國體制”推動自動化攻防技術(shù)跨越發(fā)展
作為美國國防部下屬的一個研究機(jī)構(gòu),DARPA的使命是開展“改變游戲規(guī)則”的高風(fēng)險、高價值、高回報技術(shù)研發(fā),以保持美國在各個科技領(lǐng)域的領(lǐng)先,順便謀求對未來能夠在全球范圍內(nèi)實現(xiàn)技術(shù)壟斷和封鎖。數(shù)十年來,DARPA在包括互聯(lián)網(wǎng)技術(shù)、全球定位系統(tǒng)(GPS)、隱身戰(zhàn)機(jī)技術(shù)等領(lǐng)域已經(jīng)取得了一系列顯著成就,確保了創(chuàng)新果實的不斷涌現(xiàn),對維護(hù)國家安全也發(fā)揮了重要作用。
在人工智能領(lǐng)域,DARPA也一直在不斷探索新的理論和應(yīng)用,包括在自然語言理解和識別研究(AI實時翻譯、情報數(shù)據(jù)分析)、圖像理解學(xué)習(xí)與感知(自動駕駛)、人工智能基礎(chǔ)設(shè)施研究(大語言模型、人工智能魯棒性)等方向,都進(jìn)行了深入的研究和投資。
DARPA的背后實際上有著一整套美國特色的“舉國體制”在支持,他并非傳統(tǒng)意義上的計劃體制,而是一種國家層面的戰(zhàn)略規(guī)劃和資源配置,通過政府、市場和社會力量三者之間的協(xié)同,以政府引導(dǎo)和市場投資的方式,實現(xiàn)在關(guān)鍵技術(shù)領(lǐng)域的突破和領(lǐng)先。
DARPA的成功之處在于,它不斷地通過自身超越行業(yè)、領(lǐng)域的格局和戰(zhàn)略視野,為學(xué)術(shù)界和產(chǎn)業(yè)界指明未來的模糊方向,去錨定高風(fēng)險、高價值、高收益的項目,投入大量的資源和資金支持,來激發(fā)科研團(tuán)隊和社會力量的研究興趣,一旦證實這些項目具備可行性,DARPA就會通過持續(xù)的投資,將這些創(chuàng)新技術(shù)成果轉(zhuǎn)化成為美國科技領(lǐng)先的動力。這也是DARA這個機(jī)構(gòu)的核心價值所在。
在這整個過程中,DARPA并不追求利益回報,而是以國家利益為最高的目標(biāo),希望在不同的技術(shù)領(lǐng)域點(diǎn)燃火種,通過公平的競爭培育出能夠“改變游戲規(guī)則”的創(chuàng)新的技術(shù)成果和科技人才。
2014年舉辦CGC網(wǎng)絡(luò)超級挑戰(zhàn)賽
點(diǎn)燃自動化漏洞檢測技術(shù)研究的火種
2014年,DARPA 發(fā)起CGC網(wǎng)絡(luò)超級挑戰(zhàn)賽(Cyber Grand Challenge),試圖推動建立一套自動攻防系統(tǒng)來對軟件的漏洞進(jìn)行檢測和修復(fù),解放網(wǎng)絡(luò)安全專家的生產(chǎn)力。該賽事歷時兩年,2016年夏季,在全球最知名的DEF CON黑客大賽的舞臺上完成了最終的決賽。
這場比賽啟發(fā)了全球網(wǎng)絡(luò)安全科研院所和機(jī)構(gòu)開啟自動化測試技術(shù)研究,讓fuzz模糊測試這項技術(shù)受到前所未有的關(guān)注,對于全球網(wǎng)絡(luò)安全行業(yè)來說都具有十分重要的意義,堪稱開啟了AI安全的新時代。
在長達(dá)兩年的賽程中,DARPA在CGC競賽的初賽、半決賽和決賽各個階段,為參賽團(tuán)隊們提供了大量的扶持資金,有美國媒體報道,這場比賽最終耗資高達(dá)數(shù)千萬美元。并且在賽事結(jié)束后,DARPA還直接主導(dǎo)了美國國防部與冠軍團(tuán)隊ForAllSecure的合作,通過注資和采購,將該團(tuán)隊在比賽中打造的Mayhem智能化漏洞掃描系統(tǒng)引入國防部武器軍事系統(tǒng),推廣至美國軍方多個部門。
圖/Mayhem智能化漏洞掃描系統(tǒng)
CGC網(wǎng)絡(luò)超級挑戰(zhàn)賽是一次非常成功的探索,它耗時2年斥資數(shù)千萬美元,不計成本不計回報的長期投入,促進(jìn)“自動化測試技術(shù)”從一個AI安全技術(shù)框架,轉(zhuǎn)向技術(shù)路徑可行性驗證,最終落地應(yīng)用到產(chǎn)業(yè)界。通過競賽的形式選拔和培育全國最優(yōu)秀的網(wǎng)絡(luò)安全科研人才和技術(shù)產(chǎn)品,推廣轉(zhuǎn)化為整個國家的科技競爭力,整個賽事歷程展現(xiàn)了DARPA在助推產(chǎn)業(yè)創(chuàng)新技術(shù)發(fā)展方面的巨大能量。
值得關(guān)注的一點(diǎn)的是,DARPA在CGC的競賽手冊中提到,“參賽團(tuán)隊必須包含一名美國隊員”,并且“團(tuán)隊負(fù)責(zé)人必須講英語”,讓我們看到DARPA的在技術(shù)封鎖方面的企圖,他們希望由美國政府花錢花時間投喂出來的技術(shù)成果,未來一定要掌握在美國手中。
2023年發(fā)起AIxCC 人工智能網(wǎng)絡(luò)安全挑戰(zhàn)賽
推動自動化漏洞檢測技術(shù)進(jìn)入新一輪變革
2022年底開始,以大語言模型為核心的AIGC生成式人工智能帶來了一場劃時代的產(chǎn)業(yè)變革。在網(wǎng)絡(luò)安全行業(yè)中,大模型也被寄予厚望,期待能夠解決過去困擾行業(yè)多年的安全防御人才短缺的現(xiàn)實問題。
在這樣的時代背景下,DARPA再次率先宣布,啟動AIxCC人工智能網(wǎng)絡(luò)安全挑戰(zhàn)賽,聯(lián)合Anthropic、谷歌和OpenAI等當(dāng)前大模型行業(yè)巨頭共同開啟第二次圍繞AI安全的探索。DARPA表示,發(fā)起AIxCC的目的是凝聚人工智能和網(wǎng)絡(luò)安全領(lǐng)域最優(yōu)秀、最聰明的人,保衛(wèi)全體美國公民所依賴的軟件。
這一次,相比CGC競賽而言,DARPA點(diǎn)燃的第二顆火種更具確定性。
圖片來源:AIxCC競賽官網(wǎng)-賽事介紹
DARPA在賽事背景中透露,AIxCC旨在啟發(fā)技術(shù)專家跨行業(yè)合作,利用我們所擁有的所有工具,找出解決基礎(chǔ)設(shè)施面臨的一些最關(guān)鍵弱點(diǎn)的解決方案。比賽中鼓勵參與者使用大語言模型、模糊測試和程序分析技術(shù),來理解和解決開源軟件中的漏洞,評估大語言模型在網(wǎng)絡(luò)安全攻防中的潛力。
可見,DARPA舉辦AIxCC的目的十分明確:其一是想要培育出一個能夠工程化地對開源代碼進(jìn)行審計的自動化漏洞發(fā)現(xiàn)、驗證和修復(fù)系統(tǒng);其二是探究AI大語言模型在協(xié)助機(jī)器人程序開展代碼審計方面的價值。最終通過將LLM大語言模型與自動化系統(tǒng)的結(jié)合,來實現(xiàn)更高效的漏洞發(fā)現(xiàn)、驗證和修復(fù)的閉環(huán)。
其中,“開源軟件”“大語言模型”“攻防”是三個不容忽視的關(guān)鍵詞。如果說上一次舉辦CGC競賽時,DARPA是想開發(fā)一批能夠?qū)崟r發(fā)現(xiàn)、證明和修復(fù)軟件缺陷的自動防御系統(tǒng),催化自動化漏洞檢測技術(shù)的進(jìn)步,那么舉辦AIxCC競賽,就是想以大語言模型技術(shù)和算力推動這項技術(shù)進(jìn)入新一輪變革,以更加工程化的方式識別、驗證和修復(fù)關(guān)鍵軟件漏洞。
在AIxCC競賽說明中,也明確提到“每個參賽團(tuán)隊必須包括至少1名美國公民”“團(tuán)隊負(fù)責(zé)人必須講英語”的規(guī)定。
圖:AIxCC競賽官網(wǎng)-賽制說明
AIxCC官網(wǎng)公布的賽制說明中也介紹,在比賽中所有參賽團(tuán)隊都會獲得一個挑戰(zhàn)項目集,其中每個挑戰(zhàn)項目都會基于現(xiàn)實世界中正在運(yùn)行的開源項目引入漏洞,再以GitHub存儲庫的形式發(fā)放,參賽團(tuán)隊編寫的CRS自動化推理系統(tǒng)需要對代碼存儲庫中的代碼進(jìn)行程序分析(代碼審計),通過編寫新的代碼來實現(xiàn)對漏洞的發(fā)現(xiàn)、驗證和修復(fù),最終提交一個修復(fù)補(bǔ)丁文件證明自己能夠獨(dú)立實現(xiàn)整個漏洞發(fā)現(xiàn)到修復(fù)的閉環(huán)。
在整個比賽的過程中,Anthropic、谷歌和OpenAI作為聯(lián)合主辦方會給參賽團(tuán)隊提供大模型算力資源,幫助參賽的這些機(jī)器人程序能夠更高效地完成代碼審計工作。
事實上,除了Anthropic、谷歌和OpenAI這三家大模型巨頭外,DARPA還邀請了微軟作為聯(lián)合主辦方。在比賽中,作為GitHub開源軟件開發(fā)平臺的實際擁有者,微軟扮演的角色也耐人尋味。
據(jù)公開數(shù)據(jù),當(dāng)前GitHub平臺中已有超過數(shù)千萬個開源代碼倉庫,這些開源項目又被開發(fā)人員納入全球各個領(lǐng)域的數(shù)字化應(yīng)用中。一旦證實將LLM大語言模型用于自動化漏洞發(fā)現(xiàn)和修復(fù)具備可行性,那么這也就意味著,DARPA背后的美國國防部能夠同時得到“最鋒利的矛”和“最堅固的盾”。在大國對抗的背景下,美國將占據(jù)更多的優(yōu)勢和主動權(quán)。
在中國,RHG競賽已開啟實踐先河
AI自動化攻防技術(shù)發(fā)展挑戰(zhàn)與機(jī)遇并存
受到DARPA和CGC的啟發(fā)和鼓舞,為了推進(jìn)在網(wǎng)絡(luò)安全行業(yè)內(nèi)推進(jìn)及其自動化和智能化的進(jìn)程,2017年永信至誠春秋GAME發(fā)起了Robo Hacking Game(RHG)人工智能網(wǎng)絡(luò)安全競賽,邁出我國在人工智能網(wǎng)絡(luò)安全領(lǐng)域關(guān)鍵性的一小步。
對比來看,2016年決賽落幕后,DARPA便停辦了CGC競賽,直至新一輪AI浪潮來臨才順勢啟動該賽事的進(jìn)化版本——AIxCC競賽,以更深入的推進(jìn)AI安全自動化攻防技術(shù)創(chuàng)新。
但在中國,永信至誠打造的RHG競賽在2017年初次舉辦后,后續(xù)在“黃鶴杯”RHG機(jī)器人網(wǎng)絡(luò)安全大賽、百度網(wǎng)絡(luò)安全技術(shù)對抗賽BCTF、“縱橫杯”網(wǎng)絡(luò)安全競賽、“網(wǎng)鼎杯”網(wǎng)絡(luò)安全大賽、“隴劍杯”網(wǎng)絡(luò)安全大賽等大規(guī)模賽事中都得到了延續(xù)。RHG持續(xù)吸引了眾多國內(nèi)一線科研單位、研究院所積極響應(yīng)與參與到人工智能網(wǎng)絡(luò)安全對抗研究中來。
基于RHG競賽的相關(guān)技術(shù)沉淀,永信至誠還推出了擁有自主知識產(chǎn)權(quán)的RHG(Robo Hacking Game)智能靶場平臺,為人工智能相關(guān)技術(shù)在網(wǎng)絡(luò)安全攻防領(lǐng)域的創(chuàng)新應(yīng)用提供科研、效能驗證基礎(chǔ)設(shè)施。永信至誠賽事團(tuán)隊也不斷將自身對人工智能攻防的新思考和新成果投入到RHG平臺中,為網(wǎng)絡(luò)安全領(lǐng)域人工智能創(chuàng)業(yè)團(tuán)隊的成長提供了土壤,協(xié)助孕育出了多項人工智能堆溢出漏洞的分析及利用等國際領(lǐng)先的技術(shù)成果。
作為全球唯一持續(xù)運(yùn)營的AI網(wǎng)絡(luò)安全競賽
RHG長期受到美國國家安全智庫跟蹤研究
作為全球唯一在持續(xù)運(yùn)營的人工智能網(wǎng)絡(luò)安全領(lǐng)域的專業(yè)競賽及測試平臺,RHG的影響力和專業(yè)水平還長期受到美國國家安全智庫——CSET安全與新興技術(shù)中心(Center for Security and Emerging Technology,簡稱CSET)的跟蹤研究,成為了全球網(wǎng)絡(luò)安全攻防技術(shù)發(fā)展的重要研究對象。
圖/CSET發(fā)布針對RHG的跟蹤研究報告
在大語言模型和人工智能技術(shù)正在推動網(wǎng)絡(luò)安全產(chǎn)業(yè)深入變革的今天,新一代信息技術(shù)浪潮下蘊(yùn)含著巨大機(jī)遇,也意味著巨大的挑戰(zhàn)。
從2017年初次舉辦發(fā)展至今,RHG已不僅僅是一個競賽模式和智能靶場平臺的簡稱,它還成為國內(nèi)各界乃至國際對于人工智能網(wǎng)絡(luò)安全攻防賽事的簡稱。作為中國網(wǎng)絡(luò)安全競賽的主要推動者和引領(lǐng)者,永信至誠也希望借此次DARPA舉辦AIxCC網(wǎng)絡(luò)安全競賽的行業(yè)熱點(diǎn)話題再次呼吁社會各界提高對AI安全的關(guān)注,加注AI安全自動化攻防技術(shù)創(chuàng)新研究、驗證。
在國家戰(zhàn)略層面,掌握先進(jìn)的AI安全自動化技術(shù)對于維護(hù)國家安全和網(wǎng)絡(luò)空間的主權(quán)至關(guān)重要。在美國網(wǎng)絡(luò)安全技術(shù)的快速發(fā)展,特別是美國國防部AIxCC挑戰(zhàn)賽所展現(xiàn)的AI與網(wǎng)絡(luò)安全深度融合的趨勢下,中國人工智能網(wǎng)絡(luò)安全賽事的升級和創(chuàng)新勢在必行,以不斷適應(yīng)新的技術(shù)環(huán)境,融合最新的AI技術(shù)發(fā)展成果,更好地服務(wù)于國家網(wǎng)絡(luò)安全戰(zhàn)略需求。
美國國防部這樣以高水平網(wǎng)絡(luò)安全競賽帶動技術(shù)創(chuàng)新,進(jìn)而推動國防安全技術(shù)進(jìn)步的創(chuàng)新合作模式也同樣值得我國參考借鑒,我國也繼續(xù)探索建立一套政產(chǎn)學(xué)研用協(xié)同的機(jī)制,推動AI安全智能攻防技術(shù)的研究成果轉(zhuǎn)化為實際應(yīng)用,特別是在國防、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)等重要領(lǐng)域的落地。也唯有這樣,方能迅速縮小與美國網(wǎng)絡(luò)安全行業(yè)之間的差距,方能在大國戰(zhàn)略競爭中站穩(wěn)腳跟,搶占先機(jī)。
永信至誠表示,作為RHG賽事的創(chuàng)始者和組織者,公司希望充分發(fā)揮在測試評估、賽事演練和人才培養(yǎng)方面的優(yōu)勢,推動RHG人工智能網(wǎng)絡(luò)安全競賽升級,創(chuàng)新人工智能競賽模式,為人工智能網(wǎng)絡(luò)安全人才的成長提供土壤,為AI安全智能攻防研究提供測評評估試驗床,為網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略奉獻(xiàn)自己的一份力量。
評論列表(已有條評論)
最新評論
本文作者
不想說姑娘的更多文章