.
Um ano após seu início, o DARPA AI Cyber Challenge (AIxCC) reduziu seu grupo de concorrentes para sete semifinalistas.
O concurso, anunciado inesperadamente na Black Hat em 2023, viu equipes competindo para construir modelos de IA capazes de proteger melhor o código-fonte aberto que sustenta muitos dos sistemas usados em infraestrutura crítica. 42 delas chegaram às semifinais, que culminaram na DEF CON em Las Vegas no último fim de semana, com sete das equipes recebendo um prêmio de US$ 2 milhões cada e uma vaga na final do ano que vem.
“No verdadeiro estilo DARPA, não sabíamos se nossa hipótese seria comprovada quando lançamos este programa”, disse o gerente do programa AIxCC, Andrew Carney, em uma declaração anunciando os finalistas. “Agora, vimos que os sistemas de IA são capazes não apenas de identificar, mas também de corrigir vulnerabilidades para proteger o código que sustenta a infraestrutura crítica.”
Uma olhada no painel de desafios na vila AIxCC na DEF CON 32 – Clique para ampliar
Um total de 22 vulnerabilidades foram encontradas nos cinco projetos de desafio apresentados para os semifinalistas, 15 dos quais puderam ser corrigidos. O objetivo dos semifinalistas era desenvolver um “sistema de raciocínio cibernético capaz de processar automaticamente” os projetos de desafio.
Embora as vulnerabilidades nos desafios fossem sintéticas, os casos de uso não eram: os desafios foram projetados para testar o estresse do Jenkins, do kernel Linux, do Nginx, do SQLite3 e do Apache Tika, todos comumente usados em sistemas vinculados à infraestrutura crítica.
“Os sistemas dos concorrentes identificaram 11 patches exclusivos para desafios baseados em C e quatro patches exclusivos para desafios baseados em Java”, declarou a DARPA. “Os sistemas dos concorrentes também encontraram um bug do mundo real no SQLite3, que foi divulgado de forma responsável, de acordo com as diretrizes de relatórios de bugs do SQLite3.”
Para ganhar o grande prêmio é preciso adotar o código aberto
Ser premiado com uma vaga nas finais vem com o prêmio em dinheiro de US$ 2 milhões mencionado anteriormente, e há um total de US$ 29,5 milhões disponíveis para prêmios cumulativos para o projeto. Dito isso, há uma grande ressalva para qualquer equipe disposta a continuar para as finais: eles têm que concordar em tornar seu trabalho de código aberto.
As equipes que concordarem em adotar o código aberto precisarão entregar seus projetos à Open Source Security Foundation (OpenSSF) da Linux Foundation, que se tornará administradora dos modelos, disse o gerente técnico de projetos da AIxCC, Jeff Diecks, na DEF CON. Os detalhes dos acordos não serão definidos ou anunciados até as finais do ano que vem, disse a DARPA. Pedimos mais informações à agência.
“Se fizermos isso direito… estaremos tornando o mundo melhor”, disse o gerente geral da OpenSSF, Omkhar Arasaratnam, em uma entrevista com ele e Diecks.
Os detalhes dos designs das equipes vencedoras não foram divulgados, mas a lista dos vencedores foi: 42-b3yond-6ug, all_you_need_is_a_fuzzing_brain, Lacrosse, Shellphish, Team Atlanta, Theori e Trail of Bits receberam uma oferta de US$ 2 milhões, embora não esteja claro se as várias equipes já aceitaram o prêmio.
A DARPA foi acompanhada no financiamento do projeto pela Advanced Research Project Agency for Health (ARPA-H), que comprometeu US$ 20 milhões de seus próprios fundos para o concurso. Os finalistas estarão competindo por um prêmio máximo de US$ 4 milhões, com o segundo e o terceiro lugar ganhando US$ 3 milhões e US$ 1,5 milhão, respectivamente. ®
.
