2023年底,DARPA开启了一项前所未有的寻衅——人工智能网络安全寻衅赛(AIxCC),旨在通过技能竞赛探索AI时期下网络安全的新格局。该赛事希望孕育出一种创新的网络安全通用人工智能(AGI)系统,该系统能够智能挖掘、检测和修复关键根本举动步伐的软件安全问题。
该赛事的总奖金池已超越1亿元公民币。这不仅极大地勉励了参赛军队,也表示了DARPA对网络安全领域的重大投入和期望。在这场寻衅中,像Anthropic、Google、Microsoft 和 OpenAI 这样的AI领域巨子也将参与个中,供应最前辈的技能支持。这不仅是对AI技能的一次全面考验,更是对未来网络安全防护能力的一次大胆探索。
比赛概述
参赛团队的任务是构建一个由人工智能驱动的全自动网络推理系统(CRS),用于识别和修补程序中的漏洞。在创造和修补寻衅项目中的漏洞时,CRS 不能得到任何人工帮助。寻衅项目是现实天下中关键软件的修正版本,如Linux内核和Jenkins自动化做事器。CRS 须要提交漏洞证明(PoV)和理解证明(PoU),并且对付它们创造的每个漏洞都可以提交一个补丁,这些都将作为本次寻衅赛的主要评分依据。整体赛程分为如下四个阶段:
- 注册阶段(2024年1月至4月):比赛现已正式开放注册,同时,专门为小型企业设立的注册通道也同步开放。在提交观点白皮书后,最多有七家小型企业将有机会得到100万美元奖金,用于帮助他们参加AIxCC比赛的后续阶段。
- 练习赛阶段(2024年3月至7月):在此阶段,参赛者将有机会通过实战来熟习比赛,并对他们开拓的网络安全人工智能系统进行实际测试。
- 半决赛阶段(2024年8月在DEF CON举行):在练习赛中,排名前七的团队将晋级至半决赛,并且每个团队将得到200万美元的奖金。
- 决赛阶段(2025年8月在DEF CON举行):在激动民气的总决赛中,表现最出色的三个团队将分别得到400万美元、300万美元和150万美元的奖金。
AIxCC活动概览
寻衅项目
在本次比赛中,所有寻衅问题都是基于真实软件改编而来,显示出极高的多样性。这些目标软件可能利用多种编程措辞编写,包括Java、Rust、Go、JavaScript、TypeScript、Python、Ruby和PHP。然而,至少一半的问题将涉及包含内存破坏漏洞的C/C++程序。其他类型的漏洞将从MITRE公布的前25个最危险软件漏洞中选择。每个寻衅问题包括源代码、可修正的构建流程和环境、测试工具,以及公共功能测试套件。参与寻衅的CRS须要运用多种AI/ML和传统程序剖析技能,来创造、定位、触发和修复寻衅问题中的漏洞。为了得到分数,CRS必须提交PoV(证明漏洞存在的输入)和PoU(解释触发漏洞条件的文件),并且可以提出修复方案。PoV是一种输入,用于利用供应的测试工具触发漏洞。PoU必须指明将由PoV触发的消毒剂(sanitizers)、测试工具,以及漏洞所在的代码行。
评分规则
在评分算法方面,各团队CRS的总分将基于漏洞创造、程序修复、准确性和多样性等多个维度来打算。
- 漏洞创造分数:每个通过AIxCC sanitizer 触发且附带有效PoU的PoV,都会为CRS带来积分。
- 程序修复分数:若附带的PoV/PoU的补丁能够有效阻挡AIxCC sanitizer 触发,且不影响预期功能,CRS将得到积分。若补丁在代码检讨器中没有创造缺点,还可得到额外的褒奖积分。
- 准确性分数:CRS实行任务的准确性也是评分的一个主要成分,意味着参赛军队需只管即便减少提交无效的PoV、PoU和补丁。
- 多样性分数:CRS处理寻衅问题的多样性也是评分的一部分,即CRS的终极评分将与它们处理的CWE种类和编程措辞的多样性直接干系。
未来展望
AIxCC竞赛代表了自动化漏洞挖掘、检测和修复技能在现实性和技能深度方面的显著进步,与先前的Cyber Grand Challenge比较,其创新性显而易见。首先,寻衅问题的构成紧密贴合现实天下的需求,包括了实际软件及其漏洞。其次,这些问题不仅包含源代码,还被编译成现实天下中常用的二进制文件格式。这一点至关主要,由于它担保了问题的实用性和适用性。此外,该寻衅赛涵盖了多种不同的源代码措辞,并针对多样化的打算堆栈,极大地扩展了其运用范围和深度。 AIxCC对通用网络安全AGI系统的重点关注,为软件剖析领域带来了独特的机遇。通过勉励研究者和开拓者探索新的方法,这些寻衅可能办理传统方法无法应对的基本限定(例如停机问题)。这不仅推动了技能创新,还有望开拓全新的研究领域,从而提升全体行业在软件剖析和安全性方面的表现。
翻译:Fancy
编辑:Fancy
