DAPRA挑戰賽中捍衛網路安全的人工智慧選手

本文首發於微信公眾號：人工智慧學家。文章內容屬作者個人觀點，不代表和訊網立場。投資者據此操作，風險請自擔。

人工智慧學家

計算機軟體“零日”漏洞平均每年會有312天在人類網路安全專家發現和修補漏洞之前，遭到惡意黑客的利用。美國軍方重點關注顛覆性技術的主要研究機構希望解答的問題是，人工智慧是否能在幾秒或幾分鐘內，比人類更快地發現和修補這些漏洞。

今夏，美國DAPR的網路挑戰賽(Cyber GrandChallenge ）中7個進入決賽的團隊將攜自己的AI戰隊參賽。這些AI系統可自動瀏覽對手網路伺服器並尋找漏洞，還可以積極發現和修補自己的軟體漏洞，保護自己的伺服器。比賽的第一名將會立即獲得200萬美金的獎勵，第二名和第三名分別為100萬和75萬。但長期來說，DAPRA希望，這項挑戰賽的結果能夠向人類證明，在保護計算機軟體和網路永無止境的戰鬥中，現在的自動化AI系統已經足以輔助人類。

“他們準備直播這項賽事，讓人們見證技術之間的肉搏。”DAPRA 網路挑戰賽的專案經理Mike Walker,在7月13號的電視新聞釋出會上這樣說。“我們希望從這個比賽中獲得證據，證明響應漏洞的整個電腦保安週期都已經可以自動化。”

當今的網路安全防禦技術，大多數依賴人類團隊，人類專家先手動瀏覽崩潰報告，然後經過嘗試後精準定位需要修補的問題 ；而在由於出現計算機故障，導致出現成百上千個漏洞報告時，這個過程會更加乏味和冗長，讓人難以忍受。微軟等科技巨頭，已經開始研發能夠自動發現問題並生成漏洞報告的軟體程式。

但DAPRA希望，能夠提高發現和阻止這些漏洞的自動化AI系統的水平。美國軍事機構希望，這些自動化系統能夠大大縮短研發軟體補丁和應用補丁修補軟體安全漏洞的時間。另外，與問題發生後依賴人類專家核查崩潰報告不同，在任意時間下自動化系統都能夠輔助對整個軟體系統的檢測，。

進入決賽的7個團隊都獲得了高效能運算硬體，以研發各自的人工智慧“網路推理”系統。8月4號於拉斯維加斯舉辦的10小時的網路挑戰賽中，他們將會位居二線，坐觀AI系統之間的對抗。

決賽開始之際，每個AI選手所在的網路都會執行已知協議，並執行事先未經檢查的計算機程式碼。這意味著，AI系統將需要先學習網路的軟體語言和邏輯，然後才能開始尋找漏洞。

為了攻擊對手，參賽的AI選手需要尋找網路伺服器中的漏洞。每發現一個，AI選手就會告訴DAPRA的裁判，並預測這個軟體崩潰可能發生的時間。就像一個檯球選手在排列落袋式檯球並擊球之前，會先預測開球情況，比如“7號球，落到角落球袋”。Walker 說。

AI選手證明對手存在這些漏洞就可以得分，而如果不能保護自己的伺服器和應對這些模擬攻擊則會失分。這些AI選手還將必須即使建立自己的網路防禦體系，保護自己的伺服器免遭其他對手的攻擊。這些網路安全防禦體系可能會使用兩種戰術，Walker 解釋道，第一個，你可能會建立一個通用的“二進位制盔甲”，保護網路伺服器的任何部分免受通用威脅。這種方法的缺點就是，會因為執行常見的計算任務而減慢伺服器軟體的速度。“人們希望計算機能夠保證安全，但不希望保證安全的代價竟然是兩小時才發一個郵件。”Walker 說。

第二個防禦策略中，AI會尋找軟體漏洞並用專為這些問題定製的特定補丁進行修補。對AI來說，這種反向工程和針對某個問題的“point patching”（要點修補）更有難度。但在2015年6月舉辦的網路挑戰賽的資格賽中，決賽團隊研發的AI系統確實已經能夠生成這樣的補丁。當時沒有一個參賽者能夠完全找到資格賽中出現的590個軟體漏洞，但是所有參賽者發現的漏洞加在一起囊括了全部漏洞。

然而，如果網路安全AI系統服務於惡意目的，比如發現漏洞後啟動網路攻擊怎麼辦？網路挑戰賽的結果和參賽者的軟體將會開源給大眾。開源軟體使得線上社群更易發現和修補這些漏洞，讓大眾發現這些漏洞。這種開放性，就是Walker 所說的，為使這種科技的“邪惡濫用”問題最小化，而採用的“開放式安全變革”方法的關鍵。

在網路挑戰賽決賽之前，Walker 不希望推測這樣的網路安全AI系統未來將會有怎樣的發展。但他指出，商業軟體的任何網路安全方面的提升都會使美國軍方受益，因為後者通常依賴於這些現有技術。

“在21天以後，我們準備進行一個科學實驗和存活性實驗，因此那個時候，我可能會覺得更適合去推測比賽結果。”Walker 說，“我可以完全坦誠地說，在我們給大眾說這種自動化技術是存在的，在我們推測未來發展之前，我們將首先切實證明這些自動化技術的可用性。”

對這種AI系統來說，在DAPRA的網路挑戰賽中取得讓世人信服的勝利，只是第一步。決賽團隊已經口頭同意，今年DEF CON（世界上最大的黑客會議之一）上，他們中的獲獎者將會參與一項類似於“奪旗賽（capture the flag）”的競賽，與人類黑客對抗。這項會議將會在8月的同一時間於拉斯維加斯舉行。這意味著，自動化機器選手與人類專家將首次進行當面對峙。

計算機軟體“零日”漏洞平均每年會有312天在人類網路安全專家發現和修補漏洞之前，遭到惡意黑客的利用。美國軍方重點關注顛覆性技術的主要研究機構希望解答的問題是，人工智慧是否能在幾秒或幾分鐘內，比人類更快地發現和修補這些漏洞。

今夏，美國DAPRA的網路挑戰賽(Cyber GrandChallenge ）中7個進入決賽的團隊將攜自己的AI戰隊參賽。這些AI系統可自動瀏覽對手網路伺服器並尋找漏洞，還可以積極發現和修補自己的軟體漏洞，保護自己的伺服器。比賽的第一名將會立即獲得200萬美金的獎勵，第二名和第三名分別為100萬和75萬。但長期來說，DAPRA希望，這項挑戰賽的結果能夠向人類證明，在保護計算機軟體和網路永無止境的戰鬥中，現在的自動化AI系統已經足以輔助人類。

“他們準備直播這項賽事，讓人們見證技術之間的肉搏。”DAPRA 網路挑戰賽的專案經理Mike Walker,在7月13號的電視新聞釋出會上這樣說。“我們希望從這個比賽中獲得證據，證明響應漏洞的整個電腦保安週期都已經可以自動化。”

當今的網路安全防禦技術，大多數依賴人類團隊，人類專家先手動瀏覽崩潰報告，然後經過嘗試後精準定位需要修補的問題 ；而在由於出現計算機故障，導致出現成百上千個漏洞報告時，這個過程會更加乏味和冗長，讓人難以忍受。微軟等科技巨頭，已經開始研發能夠自動發現問題並生成漏洞報告的軟體程式。但DAPRA希望，能夠提高發現和阻止這些漏洞的自動化AI系統的水平。美國軍事機構希望，這些自動化系統能夠大大縮短研發軟體補丁和應用補丁修補軟體安全漏洞的時間。另外，與問題發生後依賴人類專家核查崩潰報告不同，在任意時間下自動化系統都能夠輔助對整個軟體系統的檢測，。

進入決賽的7個團隊都獲得了高效能運算硬體，以研發各自的人工智慧“網路推理”系統。8月4號於拉斯維加斯舉辦的10小時的網路挑戰賽中，他們將會位居二線，坐觀AI系統之間的對抗。

決賽開始之際，每個AI選手所在的網路都會執行已知協議，並執行事先未經檢查的計算機程式碼。這意味著，AI系統將需要先學習網路的軟體語言和邏輯，然後才能開始尋找漏洞。

為了攻擊對手，參賽的AI選手需要尋找網路伺服器中的漏洞。每發現一個，AI選手就會告訴DAPRA的裁判，並預測這個軟體崩潰可能發生的時間。就像一個檯球選手在排列落袋式檯球並擊球之前，會先預測開球情況，比如“7號球，落到角落球袋”。Walker 說。AI選手證明對手存在這些漏洞就可以得分，而如果不能保護自己的伺服器和應對這些模擬攻擊則會失分。

這些AI選手還將必須即使建立自己的網路防禦體系，保護自己的伺服器免遭其他對手的攻擊。這些網路安全防禦體系可能會使用兩種戰術，Walker 解釋道，第一個，你可能會建立一個通用的“二進位制盔甲”，保護網路伺服器的任何部分免受通用威脅。這種方法的缺點就是，會因為執行常見的計算任務而減慢伺服器軟體的速度。“人們希望計算機能夠保證安全，但不希望保證安全的代價竟然是兩小時才發一個郵件。”Walker 說。

第二個防禦策略中，AI會尋找軟體漏洞並用專為這些問題定製的特定補丁進行修補。對AI來說，這種反向工程和針對某個問題的“point patching”（要點修補）更有難度。但在2015年6月舉辦的網路挑戰賽的資格賽中，決賽團隊研發的AI系統確實已經能夠生成這樣的補丁。當時沒有一個參賽者能夠完全找到資格賽中出現的590個軟體漏洞，但是所有參賽者發現的漏洞加在一起囊括了全部漏洞。

然而，如果網路安全AI系統服務於惡意目的，比如發現漏洞後啟動網路攻擊怎麼辦？網路挑戰賽的結果和參賽者的軟體將會開源給大眾。開源軟體使得線上社群更易發現和修補這些漏洞，讓大眾發現這些漏洞。這種開放性，就是Walker 所說的，為使這種科技的“邪惡濫用”問題最小化，而採用的“開放式安全變革”方法的關鍵。

在網路挑戰賽決賽之前，Walker 不希望推測這樣的網路安全AI系統未來將會有怎樣的發展。但他指出，商業軟體的任何網路安全方面的提升都會使美國軍方受益，因為後者通常依賴於這些現有技術。

“在21天以後，我們準備進行一個科學實驗和存活性實驗，因此那個時候，我可能會覺得更適合去推測比賽結果。”Walker 說，“我可以完全坦誠地說，在我們給大眾說這種自動化技術是存在的，在我們推測未來發展之前，我們將首先切實證明這些自動化技術的可用性。”

對這種AI系統來說，在DAPRA的網路挑戰賽中取得讓世人信服的勝利，只是第一步。決賽團隊已經口頭同意，今年DEF CON（世界上最大的黑客會議之一）上，他們中的獲獎者將會參與一項類似於“奪旗賽（capture the flag）”的競賽，與人類黑客對抗。這項會議將會在8月的同一時間於拉斯維加斯舉行。這意味著，自動化機器選手與人類專家將首次進行當面對峙。

歡迎報名參加”人工智慧學家“每月28日舉辦的“創新科技風險投資線上見面會”，百位著名風險投資人線上關注您的專案。6月28日10個專案進行線上路演。多數獲得投資人約談

====================================分割線================================

本文轉自d1net（轉載）