經曆數十年的發展,以 Linux 為代表的的開源軟件,已經在人們的日常工作和生活中做到“潤物細無聲”。現實是,開源代碼幾乎有在地球上的每一台計算機上運行。但與此同時,美國國防部高級研究計劃局(DARPA)也對其可信程度產生了一絲顧慮。
毫不誇張地說,當今世界重度依賴於 Linux 內核 —— 即便大多數人從未聽說過它。
作為大多數計算機啟動時最先加載的程序之一,它使得運行機器的硬件能夠與軟件交互、控制資源調用、並充當操作系統的基礎。
同時它也是幾乎所有雲計算、超算、物聯網、以及數十億智能機的核心構建塊。
然而內核的開源,也意味着任何人都能夠參與到代碼的編寫、閱讀和使用過程中,這點讓美國軍方內部的網絡安全專家感到十分擔心。
網絡安全研究員兼前 NSA 計算機安全科學家 Dave Aitel 指出:
開源性質意味着 Linux 內核 —— 以及許多其它關鍵的開源軟件 —— 以我們仍然幾乎不了解的方式,暴露於惡意的操縱之下。
作為當前社會的核心技術,不升入了解其內核的安全性,就意味着我們無法對關鍵基礎設施給予嚴格的安全防護。
現在,美國軍方研究機構 DARPA 想要全面了解這些開源項目的功能代碼和社區衝突。
通過更好地了解它們面臨的風險,從而更加有效地識別惡意行為者,防止後續對至關重要的開源代碼造成破壞。
具體說來是,DARPA 設立了一個計劃長達 18 個月、耗資數百萬美元的“SocialCyber”項目。
與之前的大多數研究不同,SocialCyber 結合了開源軟件代碼和社會維度的自動分析。
通過融合社會學與人工智能研究的最新技術進展,它得以繪製、理解和保護這些龐大的開源社區,及其創建的代碼。
DARPA 項目經理 Sergey Bratus 表示:
從最初的集體用愛發電、到形成全球性的基礎設施,再到互聯網本身、關鍵行業和幾乎無處不在的關鍵任務系統的基礎,開源生態系統可謂是人類歷史上最偉大的創造之一。
因為它能夠節省資金、吸引人才、並讓諸多工作變得更加輕鬆,現代文明正高度依賴於不斷擴大的開源代碼庫,比如電網、航路、運輸等行業的系統。
另一方面,以 Dave Aitel 為代表的專家認為,儘管開源運動催生了一個所有人依賴的龐大生態系統,但我們並不完全理解它。
其中包含了無數的軟件項目、數百萬行代碼、無數的郵件列表和論壇,以及身份和動機都不十分明確的貢獻者群體,結果使得責任很難被追究。
MIT Tech Review 指出:近年來,黑客多次悄悄地將惡意代碼插入到開源項目中,這些後門可能長期逃過檢測。
在最壞的情況下,整個項目都可能移交給了濫用開源社區信任的不良行為者來接管,導致代碼、甚至社區網絡都被其所染指。
在大海撈針的情況下,即使想要追責,也全然不是僅憑普通人手就能夠實現的。
有鑒於此,Bratus 認為我們需要藉助機器學習技術來消化和理解不斷擴大的代碼領域,
除了自動漏洞發現等實用工具,還需要能夠理解開源社區的代碼編寫、修復、實施與影響。
最終目標是檢測並抵禦任何惡意活動,提交有缺陷的代碼、介入干預、阻止開發,甚至接管整個開源項目。
為此研究人員將使用情緒分析等工具,來分析開源社區內的社交互動 —— 比如 Linux 內核郵件列表。
這將有助於確定誰在積极參与建設,同時誰又在消極怠工或悄悄搞破壞。
至於 SocialCyber 項目的運作方式,DARPA 已同多個團隊簽訂了協議,其中不乏具有深厚技術底蘊的小型競品網絡安全研究機構。
以總部位於紐約的 Margin Research 為例,其已組建一支由備受推崇的研究人員所組成的團隊。