微软安全测试新玩法：用 AI 问答发掘漏洞

导读：Springfield 项目的目标是捕捉企业应用程序软件中可能被黑客利用的漏洞。微软想用人工智能进行大量随机问答，从而检测系统漏洞。微软在周一宣布，准备给用户提供一个基于云的错误检测工具，它由人工智能驱动，其目的是，消除 Windows，办公室和其他企业应用程序中的漏洞，以避免在后期需要使用昂贵的补丁对其进行修复。它被称为“Springfield 计划”，公司在亚特兰大召开的年度技术会议上展示了该工具，称：“这是公司拥有过的、最棒的软件漏洞根除工具。”周一，微软首席研究员 Patrice Godefroid 在该公司网站的一篇帖子中说道：“黑客们都想利用这些漏洞。”微软表示，自 2000 年以来就使用了该工具关键组成部分，目前正在通过比 Windows 和 Office 客户规模量更小的用户范围测试这一软件。该项目的首席科学家 Godefroid 说：“里面的组成部分被称为 SAEG，并最终在 2009 年 7 月，Windows 7 发布之前帮助微软识别了多达三分之一的错误。”Springfield 项目本质上是模糊测试的延伸，其中软件所受攻击是随机的、输入也不可预测。软件崩溃，则表明其中潜在着漏洞。公司采取了更进一步的方法，通过使用人工智能“问一系列的'如果'问题”，让软件作出更复杂的决定，引发崩溃。这样，它可以找到被其他模糊测试工具忽略的漏洞。将该这技术与用户友好型仪表板和微软的Azure cloud 相结合，就可以确保客户在他们的企业软件中，运行高容量的安全测试。Forrester Research 的首席分析师 Amy DeMartine 称：“模糊测试大受好评，因为微软生产的软件影响到了数以百万的用户。然而，有一些漏洞可能不会被输入触发，从而躲过检测。这些工具必须快速运行，并与开发工具结合，如连续集成工具，以确保开发团队成功地使用它们。”由于 Windows 和其他应用程序充满了漏洞，并需要不断的进行修补，微软多年来一直备受批评。它说：“声讨数量庞大表明其在操作系统市场地位很高。”CIOs 和安全专家也在很多问题上责备微软，如它使用了传统的 Windows API，其中有一些是在现代数字化安全实践还未到位之前创建的。微软在 3 月推出了“Windows 防御高级威胁保护”，旨在使用机器学习更好地检测 Windows 10 中持有商业许可证客户的实际攻击，而不是针对漏洞。去年，它也开设了一个网络防御作战中心，除了 3500 名来自世界各地的安全员外，还聚集了其官方和 Windows 团队中大约 50 名安全专家带领的几十个安全团队，以及 Xbox、Azure 和其它的商业单元。Via：THE WALL STREET JOURNAL推荐阅读：重磅 | AI 时代微软押注 FPGA，《连线》深度解析 Project Catapult
洪小文独家解读： 直到AI可以自己编程 它才有资格跟 “路人甲” 比智能

                                                本文转自雷锋网，如需转载请至雷锋网官网申请授权。