利用最近人工智能取得的巨大进展,集中全国顶尖人工智能和网络安全人才,实现自动查找和修复软件漏洞,保护关键基础设施。这也是公共和私营部门共同努力改变未来发展方式的手段之一。
如今,开源软件几乎支撑着一切:
高达 97% 的应用程序利用开源代码,90% 的公司正在以某种方式应用开源代码。
2022 年,仅 GitHub 就贡献了 4.13 亿个开源软件 。「开源软件是世界上 99% 软件的基础,」GitHub 开发者关系副总裁 Martin Woodward 曾表示。
开源当然有很多好处。提供快速灵活的工作环境,支持世界各地开发人员的协作,带来无穷创新。
不过,开源代码越来越多地被用于关键软件,也为新的漏洞和恶意攻击打开大门。
Synopsys 2023 年的一项该报告为依赖开源软件的公司敲响了警钟。分析发现,84% 的代码库至少包含一个已知的开源漏洞,并且 91% 的代码库具有过时版本的开源组件。
软件供应链管理公司 Sonatype 的一项研究发现,2022 年,供应链攻击(针对第三方,通常是大型代码库的开源组件的攻击)的数量同比增加了 633%。
研究指出,许多商业和专有代码库是通过并购交易获得的。随着时间的推移,公司使用数百(通常是数千)个应用程序和网络服务,收购公司几乎不可能了解接手的系统所有漏洞信息。
2021 年 5 月,美国最大燃油管道 Colonial Pipeline 遭遇勒索软件攻击后,中断了网络运营,美国政府启动紧急法。
进行此次勒索软件攻击的网络犯罪团伙名叫 DarkSide 。他们渗透进公司网络,取走了近 100GB 的数据并提出赎金要求。
虽然他们并非这一领域的最大团伙,但这起事件凸显了勒索软件不止威胁商业领域,其对关键国家级工业基础设施构成的风险也正与日俱增。
2020 年底,黑客利用 SolarWinds 公司的网管软件漏洞,攻陷了多个美国联邦机构及财富 500 强企业网络。
2020 年 12 月 13 日,美国政府确认国务院、五角大楼、国土安全部、商务部、财政部、国家核安全委员会等多个政府部门遭入侵。
SolarWinds 事件是一起影响范围广、潜伏时间长、隐蔽性强、高度复杂的攻击,波及全球多个国家和地区的 18000 多个用户,被认为是「史上最严重」的供应链攻击。
要彻底摆脱攻击的影响,需重建整个 IT 系统,但这几乎是不可能的。
近年来,基于软件供应链的攻击案例呈现出不断增加趋势。
供应链攻击可能影响数十万乃至上亿的软件产品用户,并可能进一步带来窃取用户隐私、植入木马、盗取数字资产等危害。
SolarWinds 攻击成功突破了美国国务院、能源部、国防部等核心部门,网络安全界翘楚 FireEye 以及科技界巨头微软和思科公司等,再次彰显了软件供应链攻击的威力。
除了 SolarWinds,美国还有众多拥有大量政府客户的知名度不高的软件企业,这些企业都有可能成为供应链攻击的目标。
因此,白宫政府于 2021 年 5 月发布的加强网络安全的行政命令强调,确保软件供应链的安全是国家优先事项。
距离白宫发布改善软件供应链安全的行政命令一周年后,2022 年 5 月,白宫又与开源安全基金会和 Linux 基金会一起呼吁在两年内提供 1.5 亿美元资金,以解决突出的开源安全问题。
如今,生成式人工智能浪潮澎湃,拜登政府显然认为人工智能在网络防御中可以发挥更大的作用。
因此,作为白宫正在进行的提高软件安全计划的一部分,国防高级研究计划局 ( DARPA ) 计划发起一项为期两年的竞赛,即人工智能网络挑战赛(AI Cyber Challenge),要求参赛者充分利用人工智能识别和修复软件漏洞。
这场挑战赛将与人工智能初创公司 Anthropic 和 OpenAI 以及微软和谷歌合作,后者将为这项挑战提供专业知识和技术。
事实上,这也是由 DARPA 领导的顶级 AI 公司之间的首次合作,以利用人工智能最好地保护「重要软件」——特别是关键基础设施代码。
Linux 基金会的开源安全基金会 ( OpenSSF )担任挑战顾问,顶级参赛者将获得 1850 万美元的奖金。DARPA 表示,还将向最多 7 家希望参与的小企业每人提供 100 万美元。
「我们希望创建能够自动防御任何类型软件免受攻击的系统,」这场挑战赛的构想者 DARPA 项目经理 Perry Adams 在新闻发布会上告诉记者。「我认为,如果负责任地使用人工智能,最近在人工智能方面取得的进展对于保护我们的代码具有巨大的潜力。」
「人工智能网络挑战赛(AI Cyber Challenge)是一个探索机会。」他说。
尽管关于人工智能协助网络攻击的潜力( 例如通过生成恶意代码)的文章很多,但一些专家认为,人工智能的进步可以使安全专业人员更有效地执行安全任务,从而有助于加强组织的网络防御。
根据金融和风险咨询公司 Kroll 对 400 名全球商业领袖进行调查的最新数据显示,除了自动化,人工智能的最大影响可能是在网络安全领域。
在该咨询公司 2023 年欺诈和金融犯罪报告中,调查人员报告称,超过一半 ( 56% ) 的企业领导者在最新的网络安全工作中使用人工智能。
参赛的团队将参加 2024 年春季举办的资格赛,得分最高的选手(最多 20 名)将受邀参加 2024 年 DEF CON 年度会议的半决赛。最多 5 支团队将获得 200 万美元的奖金并继续进入最后阶段的比赛,即 DEF CON 2025。
最后一轮的前三名将获得额外奖金,第一名将获得 400 万美元——但要做到这一点,你的人工智能最好能够「快速保护关键基础设施代码免受攻击」,根据白宫官员的说法。理想情况下,生成的系统将搜索网络,寻找并自主修复它发现的任何软件安全漏洞。
所有获奖者都被要求(但不是必须)开源他们的人工智能系统。
站在更广阔的角度,这是公共和私营部门共同努力改变未来发展方式的办法之一。本次挑战赛也与五角大楼和白宫更广泛的愿景一致——负责任地使用人工智能以促进国家安全。
去年六月,国防部发布了「负责任的人工智能战略和实施路径」。两年前,五角大楼通过了其人工智能道德原则。
白宫也已经完全清楚自己必须为美国人民提供正确的人工智能。去年秋天,白宫公布了「人工智能权利法案(AI Bill of Rights)」蓝图,定义了政府在该问题上的核心价值观和目标。
后续工作包括推动人工智能风险管理框架,并投资 1.4 亿美元建立七个新的人工智能和机器学习国家研究机构。
7月,白宫还与一些领先的人工智能公司进行博弈,七家人工智能公司(比如微软、谷歌、Meta 和 OpenAI 等)应白宫的要求承诺将负责任地开发他们的产品。