В рамках продолжающейся инициативы Белого дома по повышению безопасности программного обеспечения, Управление перспективных исследовательских проектов Министерства обороны США (DARPA) планирует запустить двухлетний конкурс — AI Cyber Challenge, который поручит конкурсантам выявлять и исправлять уязвимости программного обеспечения с помощью ИИ.
В сотрудничестве со стартапами в области ИИ Anthropic и OpenAI, а также с Microsoft и Google, AI Cyber Challenge будет проводить соревнования между командами США по наилучшей защите «жизненно важного программного обеспечения», а именно кода критической инфраструктуры, с использованием ИИ. При участии Фонда открытой безопасности исходного кода Linux Foundation (OpenSSF) в качестве консультанта по конкурсу, лучшим участникам будут присуждены призы на сумму 18,5 млн долларов.
DARPA говорит, что она также предоставит до 1 млн долларов каждому из семи малых предприятий, которые хотят принять участие.
«Мы хотим создать системы, которые могут автоматически защищать любой вид программного обеспечения от атак», — сказал Перри Адамс, менеджер программы DARPA, который предложил идею AI Cyber Challenge, вчера на брифинге для прессы. «Я считаю, что недавние достижения в области ИИ, при ответственном использовании, имеют замечательный потенциал для защиты нашего кода».
Адамс отметил, что открытый исходный код все чаще используется в важном программном обеспечении. Недавний опрос GitHub показывает, что аж 97% приложений используют открытый исходный код, и что 90% компаний применяют или используют открытый исходный код тем или иным образом.
Распространение открытого исходного кода привело к взрыву инноваций. Но это также открыло дверь для новых разрушительных уязвимостей и эксплойтов. Анализ Synopsys за 2023 год показал, что 84% кодовых баз содержали по крайней мере одну известную уязвимость открытого исходного кода, и что у 91% были устаревшие версии компонентов открытого исходного кода.
В 2022 году количество атак на цепочку поставок — атак на сторонние, как правило, открытые исходные компоненты более крупной кодовой базы — выросло на 633% по сравнению с предыдущим годом, согласно исследованию Sonatype.
После громких инцидентов, таких как атака вымогательским ПО Colonial Pipeline, которая остановила поставки бензина и нефти на Юго-Востоке Соединенных Штатов, и атака на цепочку поставок SolarWinds, в прошлом году администрация Байдена-Харриса издала указ об улучшении безопасности цепочки поставок программного обеспечения, создав совет по кибербезопасности для анализа кибератак и выработки рекомендаций по будущей защите. А в мае 2022 года Белый дом присоединился к Фонду открытой безопасности исходного кода Linux Foundation с призывом выделить 150 млн долларов в течение двух лет на устранение существующих проблем безопасности открытого исходного кода.
Но с запуском AI Cyber Challenge администрация Байдена, очевидно, считает, что ИИ должен сыграть более важную роль в киберзащите.
«AI Cyber Challenge — это шанс изучить, что возможно, когда эксперты в области кибербезопасности и ИИ имеют доступ к набору межкорпоративных ресурсов беспрецедентного совместного масштаба», — сказал Адамс. “Если мы преуспеем, я надеюсь, что AI Cyber Challenge не только произведет следующее поколение инструментов кибербезопасности в этой области, но и покажет, как ИИ можно использовать для улучшения общества, защищая его критические основы”.
Хотя много было написано о потенциале ИИ для помощи в кибератаках — например, генерируя вредоносный код, — некоторые эксперты считают, что прорывы в области ИИ могут помочь усилить киберзащиту организаций, позволяя специалистам по безопасности более эффективно выполнять задачи безопасности. Согласно опросу Kroll руководителей глобальных компаний, более половины говорят, что они сейчас используют ИИ в своих последних усилиях в области кибербезопасности.
Команды AI Cyber Challenge примут участие в квалификационном мероприятии весной 2024 года, и до 20 лучших по баллам команд будут приглашены на полуфинальные соревнования на ежегодной конференции DEF CON в 2024 году. До пяти команд получат призы в 2 миллиона долларов и продолжат до финального этапа соревнований, который состоится на DEF CON 2025. А три лучшие команды в последнем раунде получат дополнительные призы, причем победитель получит 4 миллиона долларов.
Всех победителей попросят, но не обяжут, опубликовать исходный код своих систем ИИ.
AI Cyber Challenge строится на ранее анонсированной модели оценки Белого дома в этом году на конференции DEF CON, цель которой — выявить способы, с помощью которых крупные языковые модели вроде ChatGPT от OpenAI могут быть использованы со злым умыслом — и, при удачном стечении обстоятельств, найти способы устранения этих уязвимостей. Оценка также измерит, насколько модели соответствуют принципам и практикам, недавно изложенным в «Билле о правах ИИ» администрации Байдена-Харриса и структуре управления рисками ИИ Национального института стандартов и технологий.