DARPA人工智能網絡安全競賽為修復漏洞的安全團隊頒獎——彭博社

Patrick Howell O’Neill

2025-08-14

上週，五角大樓舉辦的長期人工智能網絡安全挑戰賽（AIxCC）在拉斯維加斯迎來決賽高潮。

七支決賽隊伍歷時兩年展開角逐，他們利用人工智能工具構建自主系統，旨在檢測並修復開源軟件中本需人工處理的漏洞。

近年來，此類漏洞已成為引發重大網絡安全事件的誘因之一。

以Log4j代碼庫事件為例，2021年曝光的漏洞引發長達數年的黑客攻防戰，數百萬應用程序和雲服務面臨惡意軟件注入風險。而2017年Equifax公司遭遇的史上最嚴重數據泄露事件，導致1.47億人信息遭竊，其根源正是Apache Struts網絡框架中未修復的漏洞。

該競賽旨在通過改進名為OSS-Fuzz的技術理念，運用人工智能提升軟件安全性。OSS-Fuzz是谷歌母公司Alphabet開發的自動化測試方法，可在黑客發現前識別漏洞，但尚不具備自主修復功能。

亞軍得主Trail of Bits公司研發總監特倫特·布魯森表示，其團隊採用名為"Buttercup"的網絡推理系統（CRS），在23個開源代碼庫中成功發現28個漏洞並完成19個補丁部署，展現了網絡安全企業部署自主技術的實踐路徑。該公司在此次競賽中獲得300萬美元獎金。

Buttercup及其所有組件現已免費開源，供所有人使用。（您可以直接閲讀Trail of Bits團隊的技術細節解析。）

美國國防高級研究計劃局（DARPA）希望AIxCC項目能成為軟件安全領域及政府重點保護目標的重要轉折點。專家向我透露，這種AI應用將使黑客更難發現其慣常利用的軟件漏洞。

冠軍團隊"亞特蘭大"由佐治亞理工學院、三星研究院、韓國科學技術院和浦項科技大學成員組成，他們開發的CRS系統在5400萬行代碼中識別出漏洞，獲得了400萬美元獎金。

“沒有理由不採用這類自動化技術，“DARPA項目負責人安德魯·卡尼在拉斯維加斯表示，“而且它會不斷進化，這將樹立新的行業基準。”

為深入瞭解其運作機制，我採訪了Trail of Bits的布朗森。以下是對話節選（經過精簡和潤色）：

這項AI研究的實際影響是什麼？

現實地看，將會有大量風險資本湧入，伴隨許多空頭承諾，最終少數項目會脱穎而出。我認為這些工具終將被整合進基礎軟件開發週期，幫助開發者在投產前預防此類漏洞。

這一領域下一步將走向何方？

當前迫切的挑戰是如何在缺乏訓練數據的小眾語言中實現技術突破。

下一個重大挑戰是：我們能否讓AI處理二進制代碼？讓AI無需瞭解架構或特定目標，就能將二進制代碼轉換為可讀語言（如C語言），是技術發展的關鍵方向。

這至關重要，因為政府擁有大量年代久遠的軟件，卻從未見過其源代碼。當政府談及關鍵基礎設施和遺留代碼安全時，根源在於1990年代他們外包開發時，承包商保留源代碼卻只向政府交付可執行文件——這些系統如今仍運行在海軍艦艇和軍事網絡中。

這些系統已持續運作數十年，但政府始終沒有源代碼。

對運行Windows 95/XP等古老系統的二進制文件進行逆向工程和補丁更新，在確保系統不被破壞的前提下完成升級，將是未來的重大突破。這是個極其複雜的課題，我們需要通過AI的視角來尋求解決方案。

讓我們看看硬幣的另一面。這類研究對攻擊性安全有何影響？

這會產生雙向影響。對於攻擊研究人員而言，擁有強大的網絡推理系統意味着能發現大量漏洞崩潰。利用大語言模型評估漏洞可利用性將成為可能——當你的CRS在龐大代碼庫中發現20處崩潰點時，可以快速構建分析模型來精準定位目標。

另一方面，我認為這會讓進攻性安全變得更加困難。

過去15年間，漏洞的發現難度持續攀升。如今要發現諸如隨機內存泄漏之類的漏洞已極為困難。我認為人工智能將使這一挑戰更加嚴峻。目前開源代碼庫能做的最佳措施就是在後台持續運行OSS-Fuzz。現在你們讓模糊測試工具變得更智能，能更快修補更多漏洞，這使得進攻方無論多麼聰明都舉步維艱。

今夏英國反移民抗議活動中，右翼"網紅"在網上傳播的誤導性信息，正給基爾·斯塔默首相施加更大壓力——他正竭力遏制非法移民問題。

內容創作者們深入參與針對無證移民的抗議活動，在X平台、TikTok和YouTube上發佈的集會視頻常獲數十萬瀏覽量，而實際參與者不過數十人。這些自稱獨立記者的人大肆傳播已被證偽的陰謀論，聲稱移民更易實施暴力犯罪或威脅本土居民生存空間。

以推動英國脱歐成名的奈傑爾·法拉奇正利用這些虛假信息，助其反移民政黨"英國改革黨"支持率飆升。這令斯塔默領導的工黨倍感頭疼，其支持率正被改革黨蠶食。

七月，法拉奇發起"英國無法無天"運動，刻意將輕微犯罪率上升與移民掛鈎。他從右翼網絡論壇搬運論點，包括所謂"英國警方護送今年反移民示威者"的陰謀論，以及聲稱英國存在偏袒移民的"雙軌制"警務體系。英國內政部與警方已公開駁斥這些指控。——丹尼爾·祖迪克與露西·懷特

**有新聞線索？**您可以通過[email protected]聯繫帕特里克·豪威爾·奧尼爾。也可使用我們的SecureDrop安全匿名發送文件。