DARPA推动AI网络挑战赛技术，赋能关键基础设施广泛应用

美国国防高级研究计划局（DARPA）正着眼于一个未来：人工智能将积极保护关键基础设施的数字骨干。该机构宣布计划将AI网络挑战赛（AIxCC）中开发的尖端技术转化为广泛应用。在为期两年的自主网络防御竞赛达到高潮之后，DARPA现在强调，必须部署这些先进的AI系统来保护从公共事业到医疗系统等基本服务。

AIxCC是与美国健康高级研究计划局（ARPA-H）合作开展的首次此类尝试，旨在开发能够自动识别和修补软件漏洞的人工智能驱动的网络推理系统（CRS）。这项倡议直接解决了日益普遍和不断升级的问题：保护支撑现代社会的开源软件所面临的巨大挑战，这种挑战往往“超出了人类的规模”。正如DARPA局长斯蒂芬·温切尔（Stephen Winchell）所阐述的，世界上大部分数字基础设施建立在“古老的数字脚手架”之上，背负着巨大的技术债，使得传统的、以人为中心的修补方法既缓慢又昂贵。

在最近于拉斯维加斯举行的DEF CON 33网络安全大会上，亚特兰大队（Team Atlanta）脱颖而出，成为AIxCC的冠军，凭借其突破性的CRS获得了400万美元的奖金。该团队由佐治亚理工学院、三星研究院、韩国科学技术院（KAIST）和浦项科技大学（POSTECH）的专家组成，在自动化漏洞检测和修复方面展现了卓越的能力。紧随其后的是Trail of Bits，获得300万美元，以及Theori，获得150万美元。

比赛结果凸显了网络安全能力的关键转变。参与的AI系统成功识别了77%的有意引入的合成漏洞，并且关键的是，修补了其中61%的漏洞，通常仅需45分钟。除了这些受控场景，CRS还发现了18个以前未知的真实世界漏洞，并成功地在Java代码库中自动修补了其中11个。与手动过程相比，这项性能显著提高了效率和成本效益，竞赛任务平均每次成功修复仅花费152美元。

DARPA转化战略的基石是立即开源这些强大的AI工具。七个决赛团队中已有四个团队的CRS工具被发布，其余三个也计划在未来几周内公开。此举旨在通过提供直接访问这些创新解决方案的方式，赋能各行业的网络防御者。正如AIxCC项目经理安德鲁·卡尼（Andrew Carney）所宣布的：“没有理由不利用这种自动化技术。而且它只会变得更好。这是新的起点。”

为了进一步加速这些技术的采纳，DARPA和ARPA-H额外承诺了140万美元的奖金。这项激励措施旨在鼓励获奖团队将其AIxCC解决方案直接集成到现实世界的关键基础设施软件中。特别是医疗保健行业，鉴于其24/7的运营需求以及对复杂、通常是遗留IT生态系统的依赖所带来的独特漏洞，将从这项进步中获益巨大。ARPA-H代理局长贾森·罗斯（Jason Roos）强调了该机构致力于支持这项技术转化，以增强患者安全和医疗保健安全。

AI网络挑战赛代表着一个重大的飞跃，它表明AI不仅可以识别缺陷，还能大规模地主动修复它们。通过承诺开源技术和激励其部署，DARPA旨在为网络防御者提供前所未有的优势，以应对不断演变的威胁，从根本上改变软件安全的格局。