经历数十年的发展,以 Linux 为代表的的开源软件,已经在人们的日常工作和生活中做到“润物细无声”。现实是,开源代码几乎有在地球上的每一台计算机上运行。但与此同时,美国国防部高级研究计划局(DARPA)也对其可信程度产生了一丝顾虑。 毫不夸张地说,当今世界重度依赖于 Linux 内核—— 即便大多数人从未听说过它。 作为大多数计算机启动时最先加载的程序之一,它使得运行机器的硬件能够与软件交互、控制资源调用、并充当操作系统的基础。 同时它也是几乎所有云计算、超算、物联网、以及数十亿智能机的核心构建块。 然而内核的开源,也意味着任何人都能够参与到代码的编写、阅读和使用过程中,这点让美国军方内部的网络安全专家感到十分担心。 网络安全研究员兼前 NSA 计算机安全科学家 Dave Aitel 指出: 开源性质意味着 Linux 内核 —— 以及许多其它关键的开源软件 —— 以我们仍然几乎不了解的方式,暴露于恶意的操纵之下。 作为当前社会的核心技术,不升入了解其内核的安全性,就意味着我们无法对关键基础设施给予严格的安全防护。 现在,美国军方研究机构 DARPA 想要全面了解这些开源项目的功能代码和社区冲突。 通过更好地了解它们面临的风险,从而更加有效地识别恶意行为者,防止后续对至关重要的开源代码造成破坏。 具体说来是,DARPA 设立了一个计划长达 18 个月、耗资数百万美元的“SocialCyber”项目。 与之前的大多数研究不同,SocialCyber 结合了开源软件代码和社会维度的自动分析。 通过融合社会学与人工智能研究的最新技术进展,它得以绘制、理解和保护这些庞大的开源社区,及其创建的代码。 DARPA 项目经理 Sergey Bratus 表示: 从最初的集体用爱发电、到形成全球性的基础设施,再到互联网本身、关键行业和几乎无处不在的关键任务系统的基础,开源生态系统可谓是人类历史上最伟大的创造之一。 因为它能够节省资金、吸引人才、并让诸多工作变得更加轻松,现代文明正高度依赖于不断扩大的开源代码库,比如电网、航路、运输等行业的系统。 另一方面,以 Dave Aitel 为代表的专家认为,尽管开源运动催生了一个所有人依赖的庞大生态系统,但我们并不完全理解它。 其中包含了无数的软件项目、数百万行代码、无数的邮件列表和论坛,以及身份和动机都不十分明确的贡献者群体,结果使得责任很难被追究。 MIT Tech Review指出:近年来,黑客多次悄悄地将恶意代码插入到开源项目中,这些后门可能长期逃过检测。 在最坏的情况下,整个项目都可能移交给了滥用开源社区信任的不良行为者来接管,导致代码、甚至社区网络都被其所染指。 在大海捞针的情况下,即使想要追责,也全然不是仅凭普通人手就能够实现的。 有鉴于此,Bratus 认为我们需要借助机器学习技术来消化和理解不断扩大的代码领域, 除了自动漏洞发现等实用工具,还需要能够理解开源社区的代码编写、修复、实施与影响。 最终目标是检测并抵御任何恶意活动,提交有缺陷的代码、介入干预、阻止开发,甚至接管整个开源项目。 为此研究人员将使用情绪分析等工具,来分析开源社区内的社交互动 —— 比如 Linux 内核邮件列表。 这将有助于确定谁在积极参与建设,同时谁又在消极怠工或悄悄搞破坏。 至于 SocialCyber 项目的运作方式,DARPA 已同多个团队签订了协议,其中不乏具有深厚技术底蕴的小型竞品网络安全研究机构。 以总部位于纽约的 Margin Research 为例,其已组建一支由备受推崇的研究人员所组成的团队。
