Trail of Bits 晋级AIxCC决赛:Buttercup在网络安全AI挑战中的卓越表现

Trail of Bits的Cyber Reasoning System Buttercup在DARPA AI Cyber Challenge半决赛中表现优异,成功晋级决赛。文章详细介绍了比赛挑战、Buttercup在nginx等真实软件中的漏洞发现与修复表现,以及AI驱动网络安全的未来前景。

Trail of Bits 晋级 AIxCC 决赛

Trail of Bits 已成功晋级 DARPA 的 AI Cyber Challenge(AIxCC)决赛轮!我们的 Cyber Reasoning System(CRS)Buttercup 在 DEF CON 2024 举办的半决赛中,从 39 支参赛队伍中脱颖而出,位列前 7 名。

比赛概述

AIxCC 半决赛基于一系列真实世界软件挑战,包括 nginx、Jenkins、Apache Tika、SQLite 和 Linux 内核。各团队的 CRS 必须在严格的时间和资源限制下,自动发现并修复这些复杂代码库中的漏洞。

DARPA 在 DEF CON 为比赛创建了一个精致的 AIxCC Village。未来主义城市景观“Northbridge”——被描述为“一个遭受黑客‘rat’别名攻击的未来网络城市”——为这场高风险的竞赛提供了背景。AIxCC Village 在 DEF CON 期间吸引了令人印象深刻的 12,500 名访客。

AIxCC Experience @defcon pic.twitter.com/y8uoNagsjC
— Unknown Unknowns (@skyehopper) August 10, 2024

AIxCC 舞台在 DEF CON 上举办了网络安全和 AI 领袖的演讲,包括 Kathleen Fisher 博士(DARPA 信息创新办公室主任)、Heather Adkins(谷歌安全工程副总裁)以及关于“LLM 的现代演进”和“竞赛如何推动创新”等主题的行业小组讨论。这些会议为比赛及其对网络安全的更广泛影响提供了宝贵的背景信息。

Buttercup 的表现

Buttercup 在半决赛中表现异常出色,尤其是在 nginx 轮次中,它在成就排行榜上占据主导地位:

  • 第一个成功修复 nginx 漏洞
  • 第一个修复了 6 个漏洞
  • 第一个发现了 3 个漏洞

我们的 CRS 似乎在修复漏洞方面表现出色,修复漏洞的得分大约是仅发现漏洞的三倍。

比赛亮点

比赛使用基于成就的排行榜,显示哪些团队“第一个发现”和“第一个修复”每个漏洞。这种评分系统为活动增添了一层神秘感,因为团队只能看到整体情况的一部分。虽然我们不知道确切的最终得分,也不知道在初始发现之后有多少团队找到了相同的漏洞,但我们为 Buttercup 在成就板上的强劲表现感到自豪。

我们的 CEO Dan Guido 在比赛进行时进行了实时推文,为社区提供了见解并解读了成就。

我们期待获得关于所有 CRS 在半决赛中表现的更详细信息。这些数据无疑将为所有参赛系统的优势和改进领域提供宝贵的见解。

我们很荣幸能与网络安全领域的一些最聪明的人才一起晋级。其他将在 DEF CON 2025 加入我们的决赛团队包括:

  • 42-b3yond
  • 6ugall_you_need_is_fuzzing_brain
  • Lacrosse
  • Shellphish
  • Team Atlanta
  • Theori

每个团队在开发 AI 驱动的网络安全系统方面都展示了卓越的技能。值得注意的是,Team Atlanta 的 CRS 在比赛中发现了 SQLite 中的一个真实空指针解引用漏洞,展示了 AIxCC 的潜在现实影响。

展望未来

晋级决赛是一个重要的里程碑,但我们的工作远未结束。明年,我们将在为 DEF CON 2025 决赛轮做准备时,改进和增强 Buttercup 的能力。决赛中的前三名团队将获得重大现金奖励,冠军将获得 400 万美元。

我们要感谢我们出色的工程师团队,他们将专业知识和热情投入到创建 Buttercup 中。我们也感谢 DARPA 组织这场突破性的竞赛,推动 AI 驱动网络安全的边界。

请继续关注我们的 AIxCC 旅程的更多更新。自动化漏洞发现和修复的未来是光明的,我们很高兴能站在前沿。

更多关于 AIxCC

  • DARPA: DARPA AI Cyber Challenge Proves Promise of AI-Driven Cybersecurity
  • CyberScoop: DARPA competition shows promise of using AI to find and patch bugs
  • Axios: Inside the U.S. competition to create AI security tools
  • NextGov: DARPA edges closer to using AI to expose cyber vulnerabilities
  • The Register: DARPA, ARPA-H award $14m to 7 AIxCC semifinalists, with a catch
  • Trail of Bits’ Buttercup heads to DARPA’s AIxCC
  • Our thoughts on AIxCC’s competition format
  • DARPA awards $1 million to Trail of Bits for AI Cyber Challenge
  • DARPA’s AI Cyber Challenge: We’re In!

对于有兴趣了解更多关于比赛的人,AIxCC 网站提供了一系列教育视频,包括在 DEF CON 拍摄的演讲和访谈。

如果您喜欢这篇文章,请分享: Twitter | LinkedIn | GitHub | Mastodon | Hacker News

页面内容
比赛概述 | Buttercup 的表现 | 比赛亮点 | 展望未来

近期文章
构建安全消息传递很难:对 Bitchat 安全辩论的细致看法
使用 Deptective 调查您的依赖项
系好安全带,Buttercup,AIxCC 的评分轮正在进行中!
将您的智能合约成熟度提升至私钥风险之外
Go 解析器中意想不到的安全隐患

© 2025 Trail of Bits.
使用 Hugo 和 Mainroad 主题生成。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次