作为白宫正在进行的提高软件安全计划的一部分,国防高级研究计划局 (DARPA) 计划发起一项为期两年的竞赛,即人工智能网络挑战赛,要求参赛者使用以下方法识别和修复软件漏洞:人工智能。
人工智能网络挑战赛将与人工智能初创公司 Anthropic 和 OpenAI 以及微软和谷歌合作,让美国团队竞相利用人工智能最好地保护“重要软件”——特别是关键基础设施代码。Linux 基金会的开源安全基金会 (OpenSSF) 担任挑战顾问,顶级参赛者将获得 1850 万美元的奖金。
DARPA 表示,还将向最多 7 家希望参与的小企业每人提供 100 万美元。
“我们希望创建能够自动防御任何类型软件免受攻击的系统,”人工智能网络挑战的构想者 DARPA 项目经理佩里·亚当斯 (Perry Adams) 在昨天的新闻发布会上告诉记者。“我认为,如果负责任地使用人工智能,最近在人工智能方面取得的进展对于保护我们的代码具有巨大的潜力。”
Adams 指出,开源代码越来越多地用于关键软件。GitHub最近的一项调查显示,高达 97% 的应用程序利用开源代码,并且 90% 的公司正在以某种方式应用或使用开源代码。
开源的普及导致了创新的爆炸式增长。但它也为新的漏洞和漏洞利用打开了大门。Synopsys 2023 年的一项分析发现,84% 的代码库至少包含一个已知的开源漏洞,并且 91% 的代码库具有过时版本的开源组件。
Sonatype 的一项研究发现,到 2022 年,供应链攻击(针对第三方,通常是大型代码库的开源组件的攻击)的数量同比增加了 633%。
去年,在发生了导致美国东南部天然气和石油运输中断的殖民地管道勒索软件攻击以及 SolarWinds 供应链攻击等备受瞩目的事件之后,拜登-哈里斯政府发布了一项改善软件供应链的行政命令安全,创建网络安全安全审查委员会来分析网络攻击并为未来的保护提出建议。2022 年 5 月,白宫与开源安全基金会和 Linux 基金会一起呼吁在两年内提供 1.5 亿美元资金,以解决突出的开源安全问题。
但随着人工智能网络挑战赛的发起,拜登政府显然认为人工智能在网络防御中可以发挥更大的作用。
“人工智能网络挑战赛是一个探索当网络安全和人工智能专家能够访问一套前所未有的跨公司资源组合时可能发生的事情的机会,”亚当斯说。“如果我们取得成功,我希望看到人工智能网络挑战赛不仅会在这个领域产生下一代网络安全工具,而且会展示如何通过捍卫人工智能的关键基础来利用人工智能来改善社会。”
尽管关于人工智能协助网络攻击的潜力( 例如通过生成恶意代码)的文章很多,但一些专家认为,人工智能的进步可以使安全专业人员更有效地执行安全任务,从而有助于加强组织的网络防御。根据克罗尔对全球商界领袖的民意调查,超过一半的人表示他们现在在最新的网络安全工作中使用人工智能。
AI 网络挑战赛的团队将参加 2024 年春季的资格赛,得分最高的选手(最多 20 名)将受邀参加 2024 年 DEF CON 年度会议的半决赛。最多 5 支团队将获得 200 万美元的奖金并继续进入最后阶段的比赛,即DEF CON 2025。最后一轮的前三名将获得额外奖金,第一名获得者将获得400万美元。
所有获奖者都被要求(但不是必须)开源他们的人工智能系统。
AI 网络挑战赛建立在白宫之前在今年 EF CON 上宣布的模型评估的基础上,该评估旨在确定 OpenAI 的ChatGPT等大型语言模型可被用于恶意目的的方式 – 如果运气好的话,可以实现这一目标修复这些漏洞。此外,该评估还将衡量这些模型如何与拜登-哈里斯政府最近在“人工智能权利法案”蓝图中以及美国国家标准与技术研究所的人工智能风险管理框架中概述的原则和实践相一致。
