机器之能报道

报道：吴昕

利用最近人工智能取得的巨大进展，集中全国顶尖人工智能和网络安全人才，实现自动查找和修复软件漏洞，保护关键基础设施。这也是公共和私营部门共同努力改变未来发展方式的手段之一。

如今，开源软件几乎支撑着一切：

高达 97% 的应用程序利用开源代码，90% 的公司正在以某种方式应用开源代码。

2022 年，仅 GitHub 就贡献了 4.13 亿个开源软件 。「开源软件是世界上 99% 软件的基础，」GitHub 开发者关系副总裁 Martin Woodward 曾表示。

开源当然有很多好处。提供快速灵活的工作环境，支持世界各地开发人员的协作，带来无穷创新。

不过，开源代码越来越多地被用于关键软件，也为新的漏洞和恶意攻击打开大门。

Synopsys 2023 年的一项该报告为依赖开源软件的公司敲响了警钟。分析发现，84% 的代码库至少包含一个已知的开源漏洞，并且 91% 的代码库具有过时版本的开源组件。

软件供应链管理公司 Sonatype 的一项研究发现，2022 年，供应链攻击（针对第三方，通常是大型代码库的开源组件的攻击）的数量同比增加了 633%。研究指出，许多商业和专有代码库是通过并购交易获得的。随着时间的推移，公司使用数百（通常是数千）个应用程序和网络服务，收购公司几乎不可能了解接手的系统所有漏洞信息。

2021 年 5 月，美国最大燃油管道 Colonial Pipeline 遭遇勒索软件攻击后，中断了网络运营，美国政府启动紧急法。

进行此次勒索软件攻击的网络犯罪团伙名叫 DarkSide 。他们渗透进公司网络，取走了近 100GB 的数据并提出赎金要求。

虽然他们并非这一领域的最大团伙，但这起事件凸显了勒索软件不止威胁商业领域，其对关键国家级工业基础设施构成的风险也正与日俱增。

2020 年底，黑客利用 SolarWinds 公司的网管软件漏洞，攻陷了多个美国联邦机构及财富 500 强企业网络。

2020 年 12 月 13 日，美国政府确认国务院、五角大楼、国土安全部、商务部、财政部、国家核安全委员会等多个政府部门遭入侵。

SolarWinds 事件是一起影响范围广、潜伏时间长、隐蔽性强、高度复杂的攻击，波及全球多个国家和地区的 18000 多个用户，被认为是「史上最严重」的供应链攻击。

要彻底摆脱攻击的影响，需重建整个 IT 系统，但这几乎是不可能的。

近年来，基于软件供应链的攻击案例呈现出不断增加趋势。

供应链攻击可能影响数十万乃至上亿的软件产品用户，并可能进一步带来窃取用户隐私、植入木马、盗取数字资产等危害。

SolarWinds 攻击成功突破了美国国务院、能源部、国防部等核心部门，网络安全界翘楚 FireEye 以及科技界巨头微软和思科公司等，再次彰显了软件供应链攻击的威力。

除了 SolarWinds，美国还有众多拥有大量政府客户的知名度不高的软件企业，这些企业都有可能成为供应链攻击的目标。

因此，白宫政府于 2021 年 5 月发布的加强网络安全的行政命令强调，确保软件供应链的安全是国家优先事项。

距离白宫发布改善软件供应链安全的行政命令一周年后，2022 年 5 月，白宫又与开源安全基金会和 Linux 基金会一起呼吁在两年内提供 1.5 亿美元资金，以解决突出的开源安全问题。

如今，生成式人工智能浪潮澎湃，拜登政府显然认为人工智能在网络防御中可以发挥更大的作用。

因此，作为白宫正在进行的提高软件安全计划的一部分，国防高级研究计划局 ( DARPA ) 计划发起一项为期两年的竞赛，即人工智能网络挑战赛（AI Cyber Challenge），要求参赛者充分利用人工智能识别和修复软件漏洞。

站在更广阔的角度，这是公共和私营部门共同努力改变未来发展方式的办法之一。本次挑战赛也与五角大楼和白宫更广泛的愿景一致——负责任地使用人工智能以促进国家安全。

去年六月，国防部发布了「负责任的人工智能战略和实施路径」。两年前，五角大楼通过了其人工智能道德原则。

白宫也已经完全清楚自己必须为美国人民提供正确的人工智能。去年秋天，白宫公布了「人工智能权利法案（AI Bill of Rights）」蓝图，定义了政府在该问题上的核心价值观和目标。

后续工作包括推动人工智能风险管理框架，并投资 1.4 亿美元建立七个新的人工智能和机器学习国家研究机构。

7月，白宫还与一些领先的人工智能公司进行博弈，七家人工智能公司（比如微软、谷歌、Meta 和 OpenAI 等）应白宫的要求承诺将负责任地开发他们的产品。