Trail of Bits 晋级 AIxCC 决赛

Trail of Bits 已成功晋级 DARPA 人工智能网络挑战赛（AIxCC）的决赛轮！我们的网络安全推理系统 Buttercup 在 DEF CON 2024 举办的半决赛中，从 39 支参赛队伍中脱颖而出，位列前 7 名。

比赛概述

AIxCC 半决赛基于一系列真实世界软件挑战，包括 nginx、Jenkins、Apache Tika、SQLite 和 Linux 内核。各队的网络安全推理系统（CRS）必须在严格的时间和资源限制下，自动发现并修复这些复杂代码库中的漏洞。

DARPA 在 DEF CON 上为比赛创建了一个精致的 AIxCC 村庄。这个名为“Northbridge”的未来主义城市景观，被描述为“一个遭受黑客‘rat’别名攻击的未来网络城市”，为这场高风险的比赛提供了背景。AIxCC 村庄在 DEF CON 期间吸引了惊人的 12,500 名访客。

AIxCC 舞台在 DEF CON 上举办了网络安全和人工智能领袖的演讲，包括 Kathleen Fisher 博士（DARPA 信息创新办公室主任）、Heather Adkins（谷歌安全工程副总裁）以及关于“LLM 的现代演进”和“竞赛如何推动创新”等主题的行业小组讨论。这些会议为比赛及其对网络安全的更广泛影响提供了宝贵的背景信息。

Buttercup 的表现

Buttercup 在半决赛中表现异常出色，尤其是在 nginx 轮次中，它在成就排行榜上占据主导地位：

第一个成功修复 nginx 漏洞
第一个修复了 6 个漏洞
第一个发现了 3 个漏洞

我们的 CRS 似乎在修复漏洞方面表现出色，修复漏洞的得分大约是仅发现漏洞的三倍。

比赛亮点

比赛使用基于成就的排行榜，显示哪些队伍是“第一个发现”和“第一个修复”每个漏洞的。这种评分系统为活动增添了一层神秘感，因为队伍只能看到整体情况的一部分。虽然我们不知道确切的最终得分，也不知道在初始发现后有多少队伍找到了相同的漏洞，但我们为 Buttercup 在成就榜上的强劲表现感到自豪。

我们的首席执行官 Dan Guido 在比赛进行时进行了实时推文，为社区提供了见解并解读了成就。

我们期待获得关于所有 CRS 在半决赛中表现的更详细信息。这些数据无疑将为所有参赛系统的优势和需要改进的领域提供宝贵的见解。

我们很荣幸能与网络安全领域的一些最聪明的人才一起晋级。其他在 DEF CON 2025 加入我们的决赛队伍包括：

42
b3yond
6ug
all_you_need_is_fuzzing
brain
Lacrosse
Shellphish
Team Atlanta
Theori

每支队伍在开发人工智能驱动的网络安全系统方面都表现出了卓越的技能。值得注意的是，Team Atlanta 的 CRS 在比赛中发现了 SQLite 中的一个真实的空指针解引用漏洞，展示了 AIxCC 的潜在现实影响。

展望未来

晋级决赛是一个重要的里程碑，但我们的工作远未结束。明年，我们将在准备 DEF CON 2025 决赛轮次时，改进和增强 Buttercup 的能力。决赛中的前三名队伍将获得重大现金奖励，获胜者将获得 400 万美元。

我们要感谢我们出色的工程师团队，他们将专业知识和热情投入到创建 Buttercup 中。我们也感谢 DARPA 组织这场突破性的竞赛，推动人工智能驱动的网络安全的边界。

请继续关注我们的 AIxCC 旅程的更多更新。自动漏洞发现和修复的未来是光明的，我们很兴奋能站在前沿。