САН-ФРАНЦИСКО — Руководители различных федеральных исследовательских агентств и ведомств во вторник изложили свое видение будущего безопасности критической инфраструктуры, подчеркнув перспективность объединения формальных методов разработки программного обеспечения с большими языковыми моделями (LLM).
Исполняющий обязанности директора DARPA Роб Макгенри заявил аудитории на конференции RSAC 2025, что такое сочетание может «фактически устранить уязвимости программного обеспечения» в базовых системных инфраструктурах, что станет отходом от традиционно принимаемых рисков, связанных с ошибками программного обеспечения.
«Нас всех учили жить в мире, где приходится мириться с наличием уязвимостей в нашем программном обеспечении, которыми злоумышленники пользуются, — сказал он. — Мы стараемся минимизировать ущерб и устранять уязвимости, и так мы и вращаемся по кругу. С технологической точки зрения это уже не обязательно».
Заявления DARPA прозвучали в контексте проекта AI Cyber Challenge — государственно-частного проекта, в котором участвуют такие лидеры отрасли, как Google, Microsoft, Anthropic и OpenAI. В рамках инициативы проверяется способность передовых систем искусственного интеллекта выявлять и устранять уязвимости в компонентах программного обеспечения с открытым исходным кодом, критически важных для электросетей, здравоохранения и транспорта.
В полуфинале, прошедшем на конференции DEFCON в прошлом году, команды, использующие LLM и автоматизированные системы логического мышления, успешно обнаружили и исправили множество синтетических уязвимостей в ряде проектов с открытым исходным кодом, включая ядро Linux и SQLite. По словам Макгенри, эти результаты свидетельствуют не только о подтверждении концепции, но и о потенциальном изменении парадигмы в области создания и поддержки безопасного программного обеспечения.
Формальные методы — способ использования математики для доказательства работоспособности программного обеспечения — десятилетиями считались эффективными, но трудоёмкими и дорогостоящими, подходящими только для самых критически важных систем и требующими квалифицированного персонала. Макгенри отметил, что сочетание программ магистратуры права (LLM) с формальными методами позволяет автоматически генерировать и проверять доказательства корректности, значительно снижая трудозатраты и стоимость.
Участники дискуссии из агентств здравоохранения и транспорта подчеркнули важность скорости установки обновлений. Дженнифер Робертс, директор по отказоустойчивым системам в ARPA-H, привела отраслевые данные, показывающие, что в среднем между выпуском обновления и его внедрением в больницы проходит 491 день. Винсент Тан, заместитель директора в ARPA-I, отметил, что 300 000 светофоров в стране работают на базе устаревших прошивок, поставляемых десятками поставщиков.
Кроме того, критически важная инфраструктура, включая водоочистные сооружения, электросети, больницы и транспортные сети, опирается на программные экосистемы, часто состоящие из открытого исходного кода. Известно, что эти экосистемы содержат уязвимости, которыми пользуются различные субъекты, от преступных группировок до государств.
Участники дискуссии из исследовательских агентств признали наличие существенных препятствий, включая нормативные барьеры, вопросы ответственности и сложности установки обновлений для различных типов технологий. Однако все они рассматривали ИИ как потенциально революционный подход к кибербезопасности.
Макгенри заявил, что DARPA меньше озабочено постепенным совершенствованием и больше — технологическими «компенсациями», которые могут сделать целые классы атак неэффективными.
«Мы не играем в мелочи, — сказал он. — Я бы отказался от 99 программ, среди которых почти всегда есть одна, которая раз в десятилетие вызывает сбой в национальной безопасности, который меняет всё».
Исполняющий обязанности директора DARPA Роб Макгенри заявил аудитории на конференции RSAC 2025, что такое сочетание может «фактически устранить уязвимости программного обеспечения» в базовых системных инфраструктурах, что станет отходом от традиционно принимаемых рисков, связанных с ошибками программного обеспечения.
«Нас всех учили жить в мире, где приходится мириться с наличием уязвимостей в нашем программном обеспечении, которыми злоумышленники пользуются, — сказал он. — Мы стараемся минимизировать ущерб и устранять уязвимости, и так мы и вращаемся по кругу. С технологической точки зрения это уже не обязательно».
Заявления DARPA прозвучали в контексте проекта AI Cyber Challenge — государственно-частного проекта, в котором участвуют такие лидеры отрасли, как Google, Microsoft, Anthropic и OpenAI. В рамках инициативы проверяется способность передовых систем искусственного интеллекта выявлять и устранять уязвимости в компонентах программного обеспечения с открытым исходным кодом, критически важных для электросетей, здравоохранения и транспорта.
В полуфинале, прошедшем на конференции DEFCON в прошлом году, команды, использующие LLM и автоматизированные системы логического мышления, успешно обнаружили и исправили множество синтетических уязвимостей в ряде проектов с открытым исходным кодом, включая ядро Linux и SQLite. По словам Макгенри, эти результаты свидетельствуют не только о подтверждении концепции, но и о потенциальном изменении парадигмы в области создания и поддержки безопасного программного обеспечения.
Формальные методы — способ использования математики для доказательства работоспособности программного обеспечения — десятилетиями считались эффективными, но трудоёмкими и дорогостоящими, подходящими только для самых критически важных систем и требующими квалифицированного персонала. Макгенри отметил, что сочетание программ магистратуры права (LLM) с формальными методами позволяет автоматически генерировать и проверять доказательства корректности, значительно снижая трудозатраты и стоимость.
Участники дискуссии из агентств здравоохранения и транспорта подчеркнули важность скорости установки обновлений. Дженнифер Робертс, директор по отказоустойчивым системам в ARPA-H, привела отраслевые данные, показывающие, что в среднем между выпуском обновления и его внедрением в больницы проходит 491 день. Винсент Тан, заместитель директора в ARPA-I, отметил, что 300 000 светофоров в стране работают на базе устаревших прошивок, поставляемых десятками поставщиков.
Кроме того, критически важная инфраструктура, включая водоочистные сооружения, электросети, больницы и транспортные сети, опирается на программные экосистемы, часто состоящие из открытого исходного кода. Известно, что эти экосистемы содержат уязвимости, которыми пользуются различные субъекты, от преступных группировок до государств.
Участники дискуссии из исследовательских агентств признали наличие существенных препятствий, включая нормативные барьеры, вопросы ответственности и сложности установки обновлений для различных типов технологий. Однако все они рассматривали ИИ как потенциально революционный подход к кибербезопасности.
Макгенри заявил, что DARPA меньше озабочено постепенным совершенствованием и больше — технологическими «компенсациями», которые могут сделать целые классы атак неэффективными.
«Мы не играем в мелочи, — сказал он. — Я бы отказался от 99 программ, среди которых почти всегда есть одна, которая раз в десятилетие вызывает сбой в национальной безопасности, который меняет всё».
