大多數網絡安全事件是軟件代碼錯誤的結果,黑客有名的零日攻擊,利用未知的漏洞滲透到計算機系統,Stuxnet是針對伊朗鈾濃縮計劃中的計算機病毒,是零日攻擊的著名例子。
然而,每年寫入數十億行代碼,捕獲和糾正每個系統漏洞都很困難。美國和中國的研究人員認為人工智能或許可以提供解決方案。
到目前為止,隨著漏洞的數量不斷增加,人力已大大跟不上進度。美國軍方研究機構國防高級研究計劃局(Defense Advanced Research Projects Agency)的項目經理桑迪普·尼瑪(Sandeep Neema)表示:“軟件中的漏洞并沒有減少,這是令人擔憂和具有挑戰性的?!痹摍C構已花費數百萬美元資助開發人工智能系統用來檢測軟件缺陷。
當前的軟件檢查技術有點像文字處理器中的拼寫檢查,識別印刷或語法錯誤。在將新軟件付諸實踐之前,開發人員通常還會審查彼此的代碼并運行測試。
“就我們如何提高軟件質量而言,最先進的技術仍然是測試驅動的,”Neema先生說。這些方法的問題在于沒有發現許多錯誤,即使開發時間的50%到75%通常用于測試。AIbug探測器有望使開發人員的審查代碼更準確,減少勞動強度。
“它確實減少了花在尋找那些高優先級漏洞上的時間,”機器學習科學家Rebecca Russell說道,她在Drapa實驗室幫助設計的人工智能系統得到了Darpa的資助。根據Russell女士及其同事今年夏天發表的一篇研究論文,Draper的系統掃描軟件以識別程序的哪些部分包含漏洞,其性能優于使用靜態分析的三種工具,這是最好的軟件審查方法之一。
該項目的技術總監Marc McConley表示,該實驗室目前正在與美國國防部的各個部門合作,以尋找該技術的應用。“他們主要擔心的是保護他們的大型軟件系統免受網絡攻擊,”
雖然這項研究處于初期階段,但德雷珀還在開發能夠自動修復軟件故障的人工智能。多倫多大學計算機科學助理教授范龍也從事自動軟件修復工作,他表示,未來幾年可能會出現商業上可行的自動修復常規錯誤的工具?!敖鉀Q許多這些錯誤并不是很有創意,人們往往會在類似的系統上犯同樣的錯誤,“龍教授說。
中國的國家機構也資助了研究,以生產AI錯誤檢測系統。德克薩斯大學圣安東尼奧分校的計算機科學教授Shouhuai Xu表示,當對四種“非常廣泛使用的”商業軟件產品進行測試時,該系統發現了10個尚未檢測到的漏洞,該系統由一組學者開發。
這些隱藏在存在安全風險的缺陷上的工具仍處于開發階段,但一些公司已經在使用AI進行一般軟件掃描。例如,視頻游戲制造商育碧(Ubisoft)在3月份發布了一款工具,該工具使用AI在實施之前標記可能存在錯誤的代碼。該公司總部位于蒙特利爾的研究實驗室負責人Yves Jacquier表示,他們的工具在測試期間將開發時間縮短了20%,并且公司計劃在今年年底之前進行“重大”推廣。
Darpa關于錯誤檢測的工作是一個名為Muse的程序的一部分,該程序還在更廣泛的類別中稱為“大代碼”,以促進AI研究。該字段基于與“大數據”大致相同的原則,檢查大量代碼庫以生成見解并學習如何編寫更好的代碼。它旨在通過創建首先具有較少缺陷的代碼來解決另一方面的軟件問題。
-
檢測系統
+關注
關注
3文章
954瀏覽量
43029 -
AI
+關注
關注
87文章
30758瀏覽量
268902
原文標題:中美認為可以利用AI檢測系統捕獲和糾正漏洞
文章出處:【微信號:cas-ciomp,微信公眾號:中科院長春光機所】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論