在報(bào)告的每10起網(wǎng)絡(luò)安全事件中，有9起是軟件代碼錯(cuò)誤的結(jié)果。黑客特別重視所謂的“零日攻擊”(zero-day attack)——利用以前未知的漏洞侵入計(jì)算機(jī)系統(tǒng)。針對(duì)伊朗鈾濃縮計(jì)劃的計(jì)算機(jī)病毒“震網(wǎng)”(Stuxnet)，就是“零日攻擊”的著名例子。

然而，每年有數(shù)十億行的代碼被編寫(xiě)，發(fā)現(xiàn)和糾正每個(gè)錯(cuò)誤非常困難。美國(guó)和中國(guó)的研究人員認(rèn)為，人工智能有望提供解決方案。

到目前為止，人類(lèi)的努力未能跟上步伐。如果說(shuō)有什么變化的話(huà)，那就是缺陷數(shù)量有增無(wú)減。例如，分析開(kāi)源軟件的《Coverity Scan Report》去年收集的數(shù)據(jù)似乎表明，漏洞數(shù)量在增加。

美國(guó)軍方研究機(jī)構(gòu)——國(guó)防高級(jí)研究計(jì)劃局(Defense Advanced Research Projects Agency, DARPA)的項(xiàng)目經(jīng)理桑迪普?尼瑪(Sandeep Neema)表示：“軟件中的漏洞并沒(méi)有減少，這令人擔(dān)憂(yōu)并帶來(lái)挑戰(zhàn)?！痹摍C(jī)構(gòu)已支出數(shù)百萬(wàn)美元資助開(kāi)發(fā)工作，目的是開(kāi)發(fā)能夠檢測(cè)軟件漏洞的人工智能(AI)系統(tǒng)。

當(dāng)前的軟件檢查技術(shù)有點(diǎn)像文字處理軟件中的拼寫(xiě)檢查，識(shí)別拼寫(xiě)或句法錯(cuò)誤。在投放新軟件之前，開(kāi)發(fā)人員通常還會(huì)審查彼此的代碼并進(jìn)行測(cè)試。

尼瑪表示：“就我們?nèi)绾翁岣哕浖|(zhì)量而言，最先進(jìn)的方法仍然是測(cè)試驅(qū)動(dòng)的。”他說(shuō)，這些方法的問(wèn)題在于有許多差錯(cuò)漏網(wǎng)——即使50%到75%的開(kāi)發(fā)時(shí)間通常用于測(cè)試。AI漏洞探測(cè)器有望讓開(kāi)發(fā)人員更準(zhǔn)確地審查代碼，并減少他們的勞動(dòng)強(qiáng)度。

機(jī)器學(xué)習(xí)科學(xué)家麗貝卡?拉塞爾(Rebecca Russell)在談到她幫助德雷珀實(shí)驗(yàn)室(Draper Laboratory)設(shè)計(jì)的AI系統(tǒng)時(shí)表示：“它確實(shí)減少了他們花在尋找那些高優(yōu)先級(jí)漏洞上的時(shí)間。”該項(xiàng)目得到DARPA的資助。根據(jù)麗貝卡及其同事今年夏天發(fā)表的一篇研究論文，德雷珀的系統(tǒng)掃描軟件以識(shí)別程序的哪些部分包含漏洞，其性能優(yōu)于采用靜態(tài)分析（當(dāng)前可用的最佳軟件審查方法之一）的三種工具。

該項(xiàng)目的技術(shù)總監(jiān)馬克?麥考利(Marc McConley)表示，德雷珀實(shí)驗(yàn)室目前正在與美國(guó)國(guó)防部的各個(gè)部門(mén)合作，以尋找該技術(shù)的應(yīng)用領(lǐng)域。他說(shuō)：“他們主要關(guān)心的是保護(hù)他們的大型軟件系統(tǒng)免受網(wǎng)絡(luò)攻擊，諸如此類(lèi)的事情。”

但德雷珀也在開(kāi)發(fā)能夠自動(dòng)修復(fù)軟件漏洞的AI系統(tǒng)，雖然這項(xiàng)研究處于更早期的階段。多倫多大學(xué)(University of Toronto)計(jì)算機(jī)科學(xué)助理教授龍凡也從事自動(dòng)軟件修復(fù)工作，他表示，未來(lái)幾年很可能會(huì)出現(xiàn)商業(yè)上可行的自動(dòng)修復(fù)常規(guī)錯(cuò)誤的工具。龍凡說(shuō)：“修復(fù)這些差錯(cuò)中的很多差錯(cuò)并不需要很有創(chuàng)意。人們傾向于在類(lèi)似的系統(tǒng)上犯類(lèi)似的錯(cuò)誤?！?/p>

中國(guó)政府機(jī)構(gòu)也資助了漏洞檢測(cè)AI系統(tǒng)的研發(fā)。德克薩斯大學(xué)圣安東尼奧分校(University of Texas at San Antonio)的計(jì)算機(jī)科學(xué)教授徐壽懷表示，在對(duì)4種“非常廣泛使用的”商業(yè)軟件產(chǎn)品進(jìn)行測(cè)試時(shí)，該系統(tǒng)發(fā)現(xiàn)了10個(gè)尚未檢測(cè)到的漏洞。徐壽懷和一些中國(guó)學(xué)者開(kāi)發(fā)了該系統(tǒng)。鑒于此類(lèi)漏洞可用于“零日攻擊”，徐壽懷拒絕進(jìn)一步透露其團(tuán)隊(duì)發(fā)現(xiàn)的漏洞的細(xì)節(jié)。

這些檢測(cè)安全風(fēng)險(xiǎn)缺陷的工具仍處于開(kāi)發(fā)階段，但一些公司已經(jīng)在使用AI進(jìn)行一般軟件掃描。例如，視頻游戲制造商育碧(Ubisoft)在今年3月發(fā)布了一款工具，使用AI在軟件實(shí)施前標(biāo)出存在錯(cuò)誤的代碼。該公司位于蒙特利爾的研究實(shí)驗(yàn)室負(fù)責(zé)人伊夫?雅基耶(Yves Jacquier)表示，他們的工具在測(cè)試期間將開(kāi)發(fā)時(shí)間縮短了20%，公司計(jì)劃在今年底之前進(jìn)行“重大”推出。

DARPA檢測(cè)漏洞的工作是“Muse計(jì)劃”的一部分，該計(jì)劃還在被稱(chēng)為“大代碼”的更廣泛類(lèi)別中促進(jìn)AI研究。該領(lǐng)域基于與“大數(shù)據(jù)”大致相同的原則，考察海量代碼庫(kù)以生成見(jiàn)解，并學(xué)習(xí)如何編寫(xiě)更好的代碼。它旨在從另一面解決軟件問(wèn)題——通過(guò)創(chuàng)建從一開(kāi)始就漏洞較少的代碼。