机器之能报道
报道:吴昕
利用最近人工智能取得的巨大进展,集中全国顶尖人工智能和网络安全人才,实现自动查找和修复软件漏洞,保护关键基础设施。这也是公共和私营部门共同努力改变未来发展方式的手段之一。
如今,开源软件几乎支撑着一切:
高达 97% 的应用程序利用开源代码,90% 的公司正在以某种方式应用开源代码。
2022 年,仅 GitHub 就贡献了 4.13 亿个开源软件 。「开源软件是世界上 99% 软件的基础,」GitHub 开发者关系副总裁 Martin Woodward 曾表示。
开源当然有很多好处。提供快速灵活的工作环境,支持世界各地开发人员的协作,带来无穷创新。
不过,开源代码越来越多地被用于关键软件,也为新的漏洞和恶意攻击打开大门。
Synopsys 2023 年的一项该报告为依赖开源软件的公司敲响了警钟。分析发现,84% 的代码库至少包含一个已知的开源漏洞,并且 91% 的代码库具有过时版本的开源组件。
软件供应链管理公司 Sonatype 的一项研究发现,2022 年,供应链攻击(针对第三方,通常是大型代码库的开源组件的攻击)的数量同比增加了 633%。研究指出,许多商业和专有代码库是通过并购交易获得的。随着时间的推移,公司使用数百(通常是数千)个应用程序和网络服务,收购公司几乎不可能了解接手的系统所有漏洞信息。
2021 年 5 月,美国最大燃油管道 Colonial Pipeline 遭遇勒索软件攻击后,中断了网络运营,美国政府启动紧急法。
进行此次勒索软件攻击的网络犯罪团伙名叫 DarkSide 。他们渗透进公司网络,取走了近 100GB 的数据并提出赎金要求。
虽然他们并非这一领域的最大团伙,但这起事件凸显了勒索软件不止威胁商业领域,其对关键国家级工业基础设施构成的风险也正与日俱增。
2020 年底,黑客利用 SolarWinds 公司的网管软件漏洞,攻陷了多个美国联邦机构及财富 500 强企业网络。
2020 年 12 月 13 日,美国政府确认国务院、五角大楼、国土安全部、商务部、财政部、国家核安全委员会等多个政府部门遭入侵。
SolarWinds 事件是一起影响范围广、潜伏时间长、隐蔽性强、高度复杂的攻击,波及全球多个国家和地区的 18000 多个用户,被认为是「史上最严重」的供应链攻击。
要彻底摆脱攻击的影响,需重建整个 IT 系统,但这几乎是不可能的。
近年来,基于软件供应链的攻击案例呈现出不断增加趋势。
供应链攻击可能影响数十万乃至上亿的软件产品用户,并可能进一步带来窃取用户隐私、植入木马、盗取数字资产等危害。
SolarWinds 攻击成功突破了美国国务院、能源部、国防部等核心部门,网络安全界翘楚 FireEye 以及科技界巨头微软和思科公司等,再次彰显了软件供应链攻击的威力。
除了 SolarWinds,美国还有众多拥有大量政府客户的知名度不高的软件企业,这些企业都有可能成为供应链攻击的目标。
因此,白宫政府于 2021 年 5 月发布的加强网络安全的行政命令强调,确保软件供应链的安全是国家优先事项。
距离白宫发布改善软件供应链安全的行政命令一周年后,2022 年 5 月,白宫又与开源安全基金会和 Linux 基金会一起呼吁在两年内提供 1.5 亿美元资金,以解决突出的开源安全问题。
如今,生成式人工智能浪潮澎湃,拜登政府显然认为人工智能在网络防御中可以发挥更大的作用。
因此,作为白宫正在进行的提高软件安全计划的一部分,国防高级研究计划局 ( DARPA ) 计划发起一项为期两年的竞赛,即人工智能网络挑战赛(AI Cyber Challenge),要求参赛者充分利用人工智能识别和修复软件漏洞。
站在更广阔的角度,这是公共和私营部门共同努力改变未来发展方式的办法之一。本次挑战赛也与五角大楼和白宫更广泛的愿景一致——负责任地使用人工智能以促进国家安全。
去年六月,国防部发布了「负责任的人工智能战略和实施路径」。两年前,五角大楼通过了其人工智能道德原则。
白宫也已经完全清楚自己必须为美国人民提供正确的人工智能。去年秋天,白宫公布了「人工智能权利法案(AI Bill of Rights)」蓝图,定义了政府在该问题上的核心价值观和目标。
后续工作包括推动人工智能风险管理框架,并投资 1.4 亿美元建立七个新的人工智能和机器学习国家研究机构。
7月,白宫还与一些领先的人工智能公司进行博弈,七家人工智能公司(比如微软、谷歌、Meta 和 OpenAI 等)应白宫的要求承诺将负责任地开发他们的产品。
相关文章
猜你喜欢