“零日攻击”——利用以前未知的漏洞侵入计算机系统

在报告的每10起网络安全事件中，有9起是软件代码错误的结果。黑客特别重视所谓的“零日攻击”(zero-day attack)——利用以前未知的漏洞侵入计算机系统。针对伊朗铀浓缩计划的计算机病毒“震网”(Stuxnet)，就是“零日攻击”的著名例子。

然而，每年有数十亿行的代码被编写，发现和纠正每个错误非常困难。美国和中国的研究人员认为，人工智能有望提供解决方案。

到目前为止，人类的努力未能跟上步伐。如果说有什么变化的话，那就是缺陷数量有增无减。例如，分析开源软件的《Coverity Scan Report》去年收集的数据似乎表明，漏洞数量在增加。

美国军方研究机构——国防高级研究计划局(Defense Advanced Research Projects Agency, DARPA)的项目经理桑迪普?尼玛(Sandeep Neema)表示：“软件中的漏洞并没有减少，这令人担忧并带来挑战。”该机构已支出数百万美元资助开发工作，目的是开发能够检测软件漏洞的人工智能(AI)系统。

当前的软件检查技术有点像文字处理软件中的拼写检查，识别拼写或句法错误。在投放新软件之前，开发人员通常还会审查彼此的代码并进行测试。

尼玛表示：“就我们如何提高软件质量而言，最先进的方法仍然是测试驱动的。”他说，这些方法的问题在于有许多差错漏网——即使50%到75%的开发时间通常用于测试。AI漏洞探测器有望让开发人员更准确地审查代码，并减少他们的劳动强度。

机器学习科学家丽贝卡?拉塞尔(Rebecca Russell)在谈到她帮助德雷珀实验室(Draper Laboratory)设计的AI系统时表示：“它确实减少了他们花在寻找那些高优先级漏洞上的时间。”该项目得到DARPA的资助。根据丽贝卡及其同事今年夏天发表的一篇研究论文，德雷珀的系统扫描软件以识别程序的哪些部分包含漏洞，其性能优于采用静态分析（当前可用的最佳软件审查方法之一）的三种工具。

该项目的技术总监马克?麦考利(Marc McConley)表示，德雷珀实验室目前正在与美国国防部的各个部门合作，以寻找该技术的应用领域。他说：“他们主要关心的是保护他们的大型软件系统免受网络攻击，诸如此类的事情。”

但德雷珀也在开发能够自动修复软件漏洞的AI系统，虽然这项研究处于更早期的阶段。多伦多大学(University of Toronto)计算机科学助理教授龙凡也从事自动软件修复工作，他表示，未来几年很可能会出现商业上可行的自动修复常规错误的工具。龙凡说：“修复这些差错中的很多差错并不需要很有创意。人们倾向于在类似的系统上犯类似的错误。”

中国政府机构也资助了漏洞检测AI系统的研发。德克萨斯大学圣安东尼奥分校(University of Texas at San Antonio)的计算机科学教授徐寿怀表示，在对4种“非常广泛使用的”商业软件产品进行测试时，该系统发现了10个尚未检测到的漏洞。徐寿怀和一些中国学者开发了该系统。鉴于此类漏洞可用于“零日攻击”，徐寿怀拒绝进一步透露其团队发现的漏洞的细节。

这些检测安全风险缺陷的工具仍处于开发阶段，但一些公司已经在使用AI进行一般软件扫描。例如，视频游戏制造商育碧(Ubisoft)在今年3月发布了一款工具，使用AI在软件实施前标出存在错误的代码。该公司位于蒙特利尔的研究实验室负责人伊夫?雅基耶(Yves Jacquier)表示，他们的工具在测试期间将开发时间缩短了20%，公司计划在今年底之前进行“重大”推出。

DARPA检测漏洞的工作是“Muse计划”的一部分，该计划还在被称为“大代码”的更广泛类别中促进AI研究。该领域基于与“大数据”大致相同的原则，考察海量代码库以生成见解，并学习如何编写更好的代码。它旨在从另一面解决软件问题——通过创建从一开始就漏洞较少的代码。