DARPA人工智能网络安全竞赛为修复漏洞的安全团队颁奖——彭博社

Patrick Howell O’Neill

2025-08-14

上周，五角大楼举办的长期人工智能网络安全挑战赛（AIxCC）在拉斯维加斯迎来决赛高潮。

七支决赛队伍历时两年展开角逐，他们利用人工智能工具构建自主系统，旨在检测并修复开源软件中本需人工处理的漏洞。

近年来，此类漏洞已成为引发重大网络安全事件的诱因之一。

以Log4j代码库事件为例，2021年曝光的漏洞引发长达数年的黑客攻防战，数百万应用程序和云服务面临恶意软件注入风险。而2017年Equifax公司遭遇的史上最严重数据泄露事件，导致1.47亿人信息遭窃，其根源正是Apache Struts网络框架中未修复的漏洞。

该竞赛旨在通过改进名为OSS-Fuzz的技术理念，运用人工智能提升软件安全性。OSS-Fuzz是谷歌母公司Alphabet开发的自动化测试方法，可在黑客发现前识别漏洞，但尚不具备自主修复功能。

亚军得主Trail of Bits公司研发总监特伦特·布鲁森表示，其团队采用名为"Buttercup"的网络推理系统（CRS），在23个开源代码库中成功发现28个漏洞并完成19个补丁部署，展现了网络安全企业部署自主技术的实践路径。该公司在此次竞赛中获得300万美元奖金。

Buttercup及其所有组件现已免费开源，供所有人使用。（您可以直接阅读Trail of Bits团队的技术细节解析。）

美国国防高级研究计划局（DARPA）希望AIxCC项目能成为软件安全领域及政府重点保护目标的重要转折点。专家向我透露，这种AI应用将使黑客更难发现其惯常利用的软件漏洞。

冠军团队"亚特兰大"由佐治亚理工学院、三星研究院、韩国科学技术院和浦项科技大学成员组成，他们开发的CRS系统在5400万行代码中识别出漏洞，获得了400万美元奖金。

“没有理由不采用这类自动化技术，“DARPA项目负责人安德鲁·卡尼在拉斯维加斯表示，“而且它会不断进化，这将树立新的行业基准。”

为深入了解其运作机制，我采访了Trail of Bits的布朗森。以下是对话节选（经过精简和润色）：

这项AI研究的实际影响是什么？

现实地看，将会有大量风险资本涌入，伴随许多空头承诺，最终少数项目会脱颖而出。我认为这些工具终将被整合进基础软件开发周期，帮助开发者在投产前预防此类漏洞。

这一领域下一步将走向何方？

当前迫切的挑战是如何在缺乏训练数据的小众语言中实现技术突破。

下一个重大挑战是：我们能否让AI处理二进制代码？让AI无需了解架构或特定目标，就能将二进制代码转换为可读语言（如C语言），是技术发展的关键方向。

这至关重要，因为政府拥有大量年代久远的软件，却从未见过其源代码。当政府谈及关键基础设施和遗留代码安全时，根源在于1990年代他们外包开发时，承包商保留源代码却只向政府交付可执行文件——这些系统如今仍运行在海军舰艇和军事网络中。

这些系统已持续运作数十年，但政府始终没有源代码。

对运行Windows 95/XP等古老系统的二进制文件进行逆向工程和补丁更新，在确保系统不被破坏的前提下完成升级，将是未来的重大突破。这是个极其复杂的课题，我们需要通过AI的视角来寻求解决方案。

让我们看看硬币的另一面。这类研究对攻击性安全有何影响？

这会产生双向影响。对于攻击研究人员而言，拥有强大的网络推理系统意味着能发现大量漏洞崩溃。利用大语言模型评估漏洞可利用性将成为可能——当你的CRS在庞大代码库中发现20处崩溃点时，可以快速构建分析模型来精准定位目标。

另一方面，我认为这会让进攻性安全变得更加困难。

过去15年间，漏洞的发现难度持续攀升。如今要发现诸如随机内存泄漏之类的漏洞已极为困难。我认为人工智能将使这一挑战更加严峻。目前开源代码库能做的最佳措施就是在后台持续运行OSS-Fuzz。现在你们让模糊测试工具变得更智能，能更快修补更多漏洞，这使得进攻方无论多么聪明都举步维艰。

今夏英国反移民抗议活动中，右翼"网红"在网上传播的误导性信息，正给基尔·斯塔默首相施加更大压力——他正竭力遏制非法移民问题。

内容创作者们深入参与针对无证移民的抗议活动，在X平台、TikTok和YouTube上发布的集会视频常获数十万浏览量，而实际参与者不过数十人。这些自称独立记者的人大肆传播已被证伪的阴谋论，声称移民更易实施暴力犯罪或威胁本土居民生存空间。

以推动英国脱欧成名的奈杰尔·法拉奇正利用这些虚假信息，助其反移民政党"英国改革党"支持率飙升。这令斯塔默领导的工党倍感头疼，其支持率正被改革党蚕食。

七月，法拉奇发起"英国无法无天"运动，刻意将轻微犯罪率上升与移民挂钩。他从右翼网络论坛搬运论点，包括所谓"英国警方护送今年反移民示威者"的阴谋论，以及声称英国存在偏袒移民的"双轨制"警务体系。英国内政部与警方已公开驳斥这些指控。——丹尼尔·祖迪克与露西·怀特

**有新闻线索？**您可以通过[email protected]联系帕特里克·豪威尔·奥尼尔。也可使用我们的SecureDrop安全匿名发送文件。