上周，在拉斯維加斯的巴黎酒店會(huì)議中心，著名的天體物理學(xué)家Hakeem Oluseyi正在主持一場(chǎng)實(shí)時(shí)網(wǎng)絡(luò)安全競(jìng)賽，而它的特別之處在于：參加比賽的主體不是人類，而是機(jī)器人。此次競(jìng)賽由DARPA(美國(guó)國(guó)防部高級(jí)研究計(jì)劃局）舉辦，周四，競(jìng)賽進(jìn)入決賽階段，七支入圍隊(duì)伍將爭(zhēng)奪200萬(wàn)美元的獎(jiǎng)金。從入圍選手有高校研究人員，到世界上最大的國(guó)防企業(yè)，網(wǎng)絡(luò)高手們?cè)诟?jìng)賽上一決高下。在此期間，研究團(tuán)隊(duì)需要打造出七套“自動(dòng)攻擊系統(tǒng)”。此舉旨在實(shí)驗(yàn)性探索無(wú)人干預(yù)條件下的入侵、補(bǔ)丁、網(wǎng)絡(luò)防御方面的軟件程序。

在經(jīng)過(guò)了10小時(shí)、95輪的激烈角逐之后，DARPA宣布由卡內(nèi)基梅隆大學(xué)ForAllSecure團(tuán)隊(duì)打造的Mayhem“自動(dòng)攻擊系統(tǒng)”贏得了比賽，獲得冠軍。亞軍為弗吉尼亞大學(xué)的TECHx團(tuán)隊(duì)打造的Xandra，季軍為學(xué)生團(tuán)隊(duì)Shellphish打造的 Mechanical Phish。

比賽結(jié)束后，冠軍機(jī)器人Mayhem將會(huì)參加一年一度的DEF CON，與人類進(jìn)行角逐。雖然沒(méi)人希望機(jī)器人贏得比賽，但此次比賽可以讓機(jī)器人比人類更快地解決某些Bug。

DARPA希望此次競(jìng)賽能讓開(kāi)發(fā)者更近地接觸到軟件修復(fù)機(jī)器人，打造在查找漏洞、編寫利用、以及部署補(bǔ)丁上比人類更強(qiáng)大的機(jī)器人。DARPA表示通過(guò)幾百萬(wàn)行代碼來(lái)發(fā)現(xiàn)漏洞非常有必要，因?yàn)樗軒椭訌?qiáng)如電力線和水處理廠這樣的基礎(chǔ)設(shè)施，以此來(lái)應(yīng)對(duì)網(wǎng)絡(luò)攻擊、保護(hù)隱私。

不過(guò)，現(xiàn)在沒(méi)有哪一個(gè)系統(tǒng)已經(jīng)上市。很多安全專家正在不斷掃描代碼，來(lái)發(fā)現(xiàn)潛在的問(wèn)題。Hakeem Oluseyi表示：平均而言，專家要發(fā)現(xiàn)網(wǎng)絡(luò)漏洞需要312天，要修復(fù)它則需要數(shù)月或數(shù)年。

在比賽的過(guò)程中，參賽團(tuán)隊(duì)并不知道將要面對(duì)哪些bug，因此他們的機(jī)器人必須識(shí)別Bug，不斷測(cè)試以確定Bug、尋找不拉低計(jì)算機(jī)運(yùn)行速度的補(bǔ)丁，并使用它。

為了測(cè)試這些網(wǎng)絡(luò)安全機(jī)器人的極限，DARPA設(shè)計(jì)了多種Bug，包括一些著名惡意軟件（如Morris worm和Heartbleed）的簡(jiǎn)化版本。此次比賽的成績(jī)?cè)u(píng)定標(biāo)準(zhǔn)包括快速有效運(yùn)用補(bǔ)丁、確認(rèn)競(jìng)爭(zhēng)者的補(bǔ)丁，如果機(jī)器人運(yùn)用的補(bǔ)丁降低了軟件的運(yùn)用速度，則將扣分。美國(guó)雷聲公司的網(wǎng)絡(luò)工程師Corbin Souffrant表示：“如果你發(fā)現(xiàn)了某個(gè)Bug，但是需要花10個(gè)小時(shí)來(lái)運(yùn)行一個(gè)原本5分鐘的軟件，那么Bug修復(fù)將變得無(wú)意義?！?/p>

參賽團(tuán)隊(duì)Deep Red描述了系統(tǒng)完成任務(wù)的五個(gè)步驟：

• 機(jī)器人運(yùn)用一種叫做fuzzing的技術(shù)來(lái)讓程序超載，從而讓Bug出現(xiàn)。

• 機(jī)器人掃描1中發(fā)現(xiàn)的結(jié)果，來(lái)確定程序中的漏洞。

• 尋找數(shù)據(jù)庫(kù)中的補(bǔ)丁。

• 運(yùn)用補(bǔ)丁。

• 分析結(jié)果，來(lái)看其對(duì)程序修復(fù)是否有效。

以上每一個(gè)步驟都使用了AI技術(shù)來(lái)比較多種解決方案，并預(yù)測(cè)未來(lái)如何將之運(yùn)用于相似的情況之下。

在比賽現(xiàn)場(chǎng)，多個(gè)機(jī)器人在5分鐘內(nèi)發(fā)現(xiàn)并修復(fù)了某個(gè)SQL漏洞，但只有兩支團(tuán)隊(duì)能夠修復(fù)SendMail的某個(gè)Bug。另外，TECHx團(tuán)隊(duì)打造的Xandra發(fā)現(xiàn)了一個(gè)主辦方都沒(méi)有發(fā)現(xiàn)的Bug。

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，人類受到的網(wǎng)絡(luò)威脅也越來(lái)越多。當(dāng)人類網(wǎng)絡(luò)專家絞盡腦汁修復(fù)Bug之時(shí)，殊不知機(jī)器人的此項(xiàng)技能已經(jīng)超過(guò)了人類?？傊?，不管是機(jī)器人修復(fù)專家還是人類修復(fù)專家，只要能更好地修復(fù)Bug，人類將會(huì)更安全，世界也將更美好。

Via:IEEE

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。