經(jīng)歷數(shù)十年的發(fā)展，以 Linux 為代表的的開源軟件，已經(jīng)在人們的日常工作和生活中做到“潤(rùn)物細(xì)無聲”。現(xiàn)實(shí)是，開源代碼幾乎有在地球上的每一臺(tái)計(jì)算機(jī)上運(yùn)行。但與此同時(shí)，美國(guó)國(guó)防部高級(jí)研究計(jì)劃局（DARPA）也對(duì)其可信程度產(chǎn)生了一絲顧慮。

【資料圖】

訪問：

阿里云“無影云電腦” 支持企業(yè)快速實(shí)現(xiàn)居家辦公

毫不夸張地說，當(dāng)今世界重度依賴于 Linux 內(nèi)核—— 即便大多數(shù)人從未聽說過它。

作為大多數(shù)計(jì)算機(jī)啟動(dòng)時(shí)最先加載的程序之一，它使得運(yùn)行機(jī)器的硬件能夠與軟件交互、控制資源調(diào)用、并充當(dāng)操作系統(tǒng)的基礎(chǔ)。

同時(shí)它也是幾乎所有云計(jì)算、超算、物聯(lián)網(wǎng)、以及數(shù)十億智能機(jī)的核心構(gòu)建塊。

然而內(nèi)核的開源，也意味著任何人都能夠參與到代碼的編寫、閱讀和使用過程中，這點(diǎn)讓美國(guó)軍方內(nèi)部的網(wǎng)絡(luò)安全專家感到十分擔(dān)心。

網(wǎng)絡(luò)安全研究員兼前 NSA 計(jì)算機(jī)安全科學(xué)家 Dave Aitel 指出：

開源性質(zhì)意味著 Linux 內(nèi)核 —— 以及許多其它關(guān)鍵的開源軟件 —— 以我們?nèi)匀粠缀醪涣私獾姆绞剑┞队趷阂獾牟倏v之下。

作為當(dāng)前社會(huì)的核心技術(shù)，不升入了解其內(nèi)核的安全性，就意味著我們無法對(duì)關(guān)鍵基礎(chǔ)設(shè)施給予嚴(yán)格的安全防護(hù)。

現(xiàn)在，美國(guó)軍方研究機(jī)構(gòu) DARPA 想要全面了解這些開源項(xiàng)目的功能代碼和社區(qū)沖突。

通過更好地了解它們面臨的風(fēng)險(xiǎn)，從而更加有效地識(shí)別惡意行為者，防止后續(xù)對(duì)至關(guān)重要的開源代碼造成破壞。

具體說來是，DARPA 設(shè)立了一個(gè)計(jì)劃長(zhǎng)達(dá) 18 個(gè)月、耗資數(shù)百萬美元的“SocialCyber”項(xiàng)目。

與之前的大多數(shù)研究不同，SocialCyber 結(jié)合了開源軟件代碼和社會(huì)維度的自動(dòng)分析。

通過融合社會(huì)學(xué)與人工智能研究的最新技術(shù)進(jìn)展，它得以繪制、理解和保護(hù)這些龐大的開源社區(qū)，及其創(chuàng)建的代碼。

DARPA 項(xiàng)目經(jīng)理 Sergey Bratus 表示：

從最初的集體用愛發(fā)電、到形成全球性的基礎(chǔ)設(shè)施，再到互聯(lián)網(wǎng)本身、關(guān)鍵行業(yè)和幾乎無處不在的關(guān)鍵任務(wù)系統(tǒng)的基礎(chǔ)，開源生態(tài)系統(tǒng)可謂是人類歷史上最偉大的創(chuàng)造之一。

因?yàn)樗軌蚬?jié)省資金、吸引人才、并讓諸多工作變得更加輕松，現(xiàn)代文明正高度依賴于不斷擴(kuò)大的開源代碼庫(kù)，比如電網(wǎng)、航路、運(yùn)輸?shù)刃袠I(yè)的系統(tǒng)。

另一方面，以 Dave Aitel 為代表的專家認(rèn)為，盡管開源運(yùn)動(dòng)催生了一個(gè)所有人依賴的龐大生態(tài)系統(tǒng)，但我們并不完全理解它。

其中包含了無數(shù)的軟件項(xiàng)目、數(shù)百萬行代碼、無數(shù)的郵件列表和論壇，以及身份和動(dòng)機(jī)都不十分明確的貢獻(xiàn)者群體，結(jié)果使得責(zé)任很難被追究。

MIT Tech Review 指出：近年來，黑客多次悄悄地將惡意代碼插入到開源項(xiàng)目中，這些后門可能長(zhǎng)期逃過檢測(cè)。

在最壞的情況下，整個(gè)項(xiàng)目都可能移交給了濫用開源社區(qū)信任的不良行為者來接管，導(dǎo)致代碼、甚至社區(qū)網(wǎng)絡(luò)都被其所染指。

在大海撈針的情況下，即使想要追責(zé)，也全然不是僅憑普通人手就能夠?qū)崿F(xiàn)的。

有鑒于此，Bratus 認(rèn)為我們需要借助機(jī)器學(xué)習(xí)技術(shù)來消化和理解不斷擴(kuò)大的代碼領(lǐng)域，

除了自動(dòng)漏洞發(fā)現(xiàn)等實(shí)用工具，還需要能夠理解開源社區(qū)的代碼編寫、修復(fù)、實(shí)施與影響。

最終目標(biāo)是檢測(cè)并抵御任何惡意活動(dòng)，提交有缺陷的代碼、介入干預(yù)、阻止開發(fā)，甚至接管整個(gè)開源項(xiàng)目。

為此研究人員將使用情緒分析等工具，來分析開源社區(qū)內(nèi)的社交互動(dòng) —— 比如 Linux 內(nèi)核郵件列表。

這將有助于確定誰在積極參與建設(shè)，同時(shí)誰又在消極怠工或悄悄搞破壞。

至于 SocialCyber 項(xiàng)目的運(yùn)作方式，DARPA 已同多個(gè)團(tuán)隊(duì)簽訂了協(xié)議，其中不乏具有深厚技術(shù)底蘊(yùn)的小型競(jìng)品網(wǎng)絡(luò)安全研究機(jī)構(gòu)。

以總部位于紐約的 Margin Research 為例，其已組建一支由備受推崇的研究人員所組成的團(tuán)隊(duì)。

關(guān)鍵詞： United States DARPA欲借SocialCyber項(xiàng)目摸