Двухлетний публичный конкурс Пентагона по стимулированию разработки систем киберанализа, использующих большие языковые модели для автономного поиска и устранения уязвимостей в программном обеспечении с открытым исходным кодом, завершился в пятницу. Три команды специалистов по безопасности на конференции DEF CON получили 8,5 млн долларов.
Проект AI Cyber Challenge Агентства перспективных исследовательских проектов Министерства обороны США направлен на устранение постоянного узкого места в кибербезопасности — устранение уязвимостей до того, как они будут обнаружены или использованы потенциальными злоумышленниками.
«Сейчас мы живём в мире, где всё держится на устаревших цифровых строительных лесах», — сказал директор DARPA Стивен Уинчелл. «Многие кодовые базы, многие языки, многие способы ведения бизнеса и всё, что мы построили на их основе, — всё это привело к огромному техническому долгу… Это проблема, выходящая за рамки человеческих возможностей».
Семь полуфиналистов, получивших место среди 90 команд, участвовавших в прошлогоднем DEF CON, оценивались по способности их моделей быстро, точно и успешно выявлять и генерировать исправления для синтетических уязвимостей в 54 миллионах строк кода. По словам организаторов конкурса, модели обнаружили 77% уязвимостей, представленных в финальном раунде оценки, и исправили 61% синтетических дефектов со средней скоростью 45 минут.
Модели также обнаружили 18 реальных уязвимостей нулевого дня, в том числе шесть в языке программирования C и 12 в кодовых базах Java. Согласно окончательным результатам, опубликованным в пятницу, модели команд не исправили ни одной уязвимости нулевого дня в кодовой базе C, но автоматически исправили 11 уязвимостей нулевого дня в Java.
Команда Atlanta получила приз за первое место в размере 4 миллионов долларов, Trail of Bits заняла второе место и получила приз в размере 3 миллионов долларов, а Theori заняла третье место, забрав 1,5 миллиона долларов. Организаторы конкурса выделили дополнительно 1,4 миллиона долларов призового фонда участникам, которые смогут продемонстрировать применение своих технологий в критически важной инфраструктуре.
Представители трех команд-победителей заявили, что планируют реинвестировать большую часть призовых денег обратно в исследования и дальнейшее развитие своих систем киберанализа или изучить пути коммерциализации технологии.
По словам официальных лиц, четыре из разработанных в рамках конкурса моделей были опубликованы в качестве открытого исходного кода в пятницу, а три оставшиеся модели будут выпущены в ближайшие недели.
«Мы надеемся, что эта технология позволит защитить исходный код, интегрируясь на этапе разработки — самой критической точке жизненного цикла программного обеспечения», — заявил Эндрю Карни, руководитель программы конкурса, во время пресс-конференции, посвященной этому заданию, на прошлой неделе.
По его словам, открытый исходный код систем киберанализа и инфраструктуры AI Cyber Challenge также позволит другим экспериментировать и совершенствовать то, чему способствовал конкурс. DARPA и партнёры из государственного и частного секторов, участвующие в программе, ищут пути для более широкого внедрения технологий, разработанных в ходе конкурса, в сообщества разработчиков программного обеспечения с открытым исходным кодом и среди коммерческих поставщиков.
Программа DARPA «AI Cyber Challenge» — это государственно-частный проект, в рамках которого Google, Microsoft, Anthropic и OpenAI выделяют по 350 000 долларов США в виде кредитов LLM и дополнительной поддержки. Целью инициативы является проверка способности ИИ выявлять и устранять уязвимости в открытом коде, имеющие жизненно важное значение для критически важной инфраструктуры, включая здравоохранение.
Джим О’Нил, заместитель секретаря Министерства здравоохранения и социальных служб, рассказал о важности этой работы во время презентации AI Cyber Challenge на конференции DEF CON. «Системы здравоохранения относятся к числу наиболее сложных для обеспечения безопасности сетей. В отличие от других отраслей, больницы должны поддерживать круглосуточную работоспособность, и у них нет возможности перезагрузиться. Они используют узкоспециализированные устаревшие устройства и сложные ИТ-экосистемы», — сказал он.
«В результате устранение уязвимости в здравоохранении может занять в среднем 491 день, в то время как в большинстве других отраслей это занимает от 60 до 90 дней», — добавил О’Нилл. «К сожалению, многие продукты кибербезопасности — это лишь театр безопасности. Нам нужны эффективные подходы с доказательством работоспособности, чтобы обеспечить безопасность сетей, больниц и пациентов».
Представители здравоохранения и другие лица, непосредственно участвующие в проекте AI Cyber Challenge, признали, что проблемы, создаваемые небезопасным программным обеспечением, огромны, но отметили, что продемонстрированные в ходе этих усилий результаты вселяют проблеск надежды.
«Масштабы проблемы настолько непреодолимы и необоснованны, что это начинает приводить к мысли, что мы действительно сможем защитить сети — возможно», — заявила Дженнифер Робертс, директор по устойчивым системам Агентства передовых исследовательских проектов в области здравоохранения Министерства здравоохранения и социальных служб США, во время пресс-конференции на конференции DEF CON после объявления победителей.
Кэтлин Фишер, директор Управления информационных инноваций DARPA, разделяет схожий сдержанно-оптимистичный взгляд. «Программное обеспечение правит миром, и это программное обеспечение, которое правит миром, изобилует уязвимостями», — сказала она.
«У нас есть чувство выученной беспомощности, ощущение, что мы ничего не можем с этим поделать. Таково устройство программного обеспечения», — продолжила она. AI Cyber Challenge «указывает на светлое будущее, где программное обеспечение будет делать то, что ему предназначено, и ничего больше».
Проект AI Cyber Challenge Агентства перспективных исследовательских проектов Министерства обороны США направлен на устранение постоянного узкого места в кибербезопасности — устранение уязвимостей до того, как они будут обнаружены или использованы потенциальными злоумышленниками.
«Сейчас мы живём в мире, где всё держится на устаревших цифровых строительных лесах», — сказал директор DARPA Стивен Уинчелл. «Многие кодовые базы, многие языки, многие способы ведения бизнеса и всё, что мы построили на их основе, — всё это привело к огромному техническому долгу… Это проблема, выходящая за рамки человеческих возможностей».
Семь полуфиналистов, получивших место среди 90 команд, участвовавших в прошлогоднем DEF CON, оценивались по способности их моделей быстро, точно и успешно выявлять и генерировать исправления для синтетических уязвимостей в 54 миллионах строк кода. По словам организаторов конкурса, модели обнаружили 77% уязвимостей, представленных в финальном раунде оценки, и исправили 61% синтетических дефектов со средней скоростью 45 минут.
Модели также обнаружили 18 реальных уязвимостей нулевого дня, в том числе шесть в языке программирования C и 12 в кодовых базах Java. Согласно окончательным результатам, опубликованным в пятницу, модели команд не исправили ни одной уязвимости нулевого дня в кодовой базе C, но автоматически исправили 11 уязвимостей нулевого дня в Java.
Команда Atlanta получила приз за первое место в размере 4 миллионов долларов, Trail of Bits заняла второе место и получила приз в размере 3 миллионов долларов, а Theori заняла третье место, забрав 1,5 миллиона долларов. Организаторы конкурса выделили дополнительно 1,4 миллиона долларов призового фонда участникам, которые смогут продемонстрировать применение своих технологий в критически важной инфраструктуре.
Представители трех команд-победителей заявили, что планируют реинвестировать большую часть призовых денег обратно в исследования и дальнейшее развитие своих систем киберанализа или изучить пути коммерциализации технологии.
По словам официальных лиц, четыре из разработанных в рамках конкурса моделей были опубликованы в качестве открытого исходного кода в пятницу, а три оставшиеся модели будут выпущены в ближайшие недели.
«Мы надеемся, что эта технология позволит защитить исходный код, интегрируясь на этапе разработки — самой критической точке жизненного цикла программного обеспечения», — заявил Эндрю Карни, руководитель программы конкурса, во время пресс-конференции, посвященной этому заданию, на прошлой неделе.
По его словам, открытый исходный код систем киберанализа и инфраструктуры AI Cyber Challenge также позволит другим экспериментировать и совершенствовать то, чему способствовал конкурс. DARPA и партнёры из государственного и частного секторов, участвующие в программе, ищут пути для более широкого внедрения технологий, разработанных в ходе конкурса, в сообщества разработчиков программного обеспечения с открытым исходным кодом и среди коммерческих поставщиков.
Программа DARPA «AI Cyber Challenge» — это государственно-частный проект, в рамках которого Google, Microsoft, Anthropic и OpenAI выделяют по 350 000 долларов США в виде кредитов LLM и дополнительной поддержки. Целью инициативы является проверка способности ИИ выявлять и устранять уязвимости в открытом коде, имеющие жизненно важное значение для критически важной инфраструктуры, включая здравоохранение.
Джим О’Нил, заместитель секретаря Министерства здравоохранения и социальных служб, рассказал о важности этой работы во время презентации AI Cyber Challenge на конференции DEF CON. «Системы здравоохранения относятся к числу наиболее сложных для обеспечения безопасности сетей. В отличие от других отраслей, больницы должны поддерживать круглосуточную работоспособность, и у них нет возможности перезагрузиться. Они используют узкоспециализированные устаревшие устройства и сложные ИТ-экосистемы», — сказал он.
«В результате устранение уязвимости в здравоохранении может занять в среднем 491 день, в то время как в большинстве других отраслей это занимает от 60 до 90 дней», — добавил О’Нилл. «К сожалению, многие продукты кибербезопасности — это лишь театр безопасности. Нам нужны эффективные подходы с доказательством работоспособности, чтобы обеспечить безопасность сетей, больниц и пациентов».
Представители здравоохранения и другие лица, непосредственно участвующие в проекте AI Cyber Challenge, признали, что проблемы, создаваемые небезопасным программным обеспечением, огромны, но отметили, что продемонстрированные в ходе этих усилий результаты вселяют проблеск надежды.
«Масштабы проблемы настолько непреодолимы и необоснованны, что это начинает приводить к мысли, что мы действительно сможем защитить сети — возможно», — заявила Дженнифер Робертс, директор по устойчивым системам Агентства передовых исследовательских проектов в области здравоохранения Министерства здравоохранения и социальных служб США, во время пресс-конференции на конференции DEF CON после объявления победителей.
Кэтлин Фишер, директор Управления информационных инноваций DARPA, разделяет схожий сдержанно-оптимистичный взгляд. «Программное обеспечение правит миром, и это программное обеспечение, которое правит миром, изобилует уязвимостями», — сказала она.
«У нас есть чувство выученной беспомощности, ощущение, что мы ничего не можем с этим поделать. Таково устройство программного обеспечения», — продолжила она. AI Cyber Challenge «указывает на светлое будущее, где программное обеспечение будет делать то, что ему предназначено, и ничего больше».
