Como parte de una iniciativa en curso de la Casa Blanca para hacer que el software sea más seguro, la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA, por sus siglas en inglés) planea lanzar un concurso de dos años, el Desafío cibernético de IA, que pedirá a los competidores que identifiquen y corrijan las vulnerabilidades del software usando AI.
En colaboración con las nuevas empresas de IA Anthropic y OpenAI, así como con Microsoft y Google, el AI Cyber Challenge hará que los equipos con sede en EE. UU. compitan para proteger mejor el «software vital», específicamente el código de infraestructura crítica, utilizando IA. Con la Open Source Security Foundation (OSC) de Linux Foundation actuando como asesor del desafío, se otorgarán $18,5 millones en premios a los mejores concursantes.
DARPA dice que también pondrá a disposición $ 1 millón cada uno para hasta siete pequeñas empresas que deseen participar.
“Queremos crear sistemas que puedan defender automáticamente cualquier tipo de software de un ataque”, dijo ayer a los periodistas en una conferencia de prensa el gerente del programa DARPA, Perry Adams, quien concibió el AI Cyber Challenge. “TLos avances recientes en IA, cuando se usan de manera responsable, tienen un potencial notable para proteger nuestro código, creo”.
Adams señaló que el código fuente abierto se usa cada vez más en software crítico. Una encuesta reciente de GitHub muestra que la friolera de 97% de las aplicaciones aprovechan el código fuente abierto y que el 90% de las empresas están aplicando o usando código fuente abierto de alguna manera.
La proliferación del código abierto ha llevado a una explosión de innovación. Pero también abrió la puerta para dañar nuevas vulnerabilidades y exploits. Un análisis de 2023 de Synopsys encontró que el 84 % de las bases de código contenían al menos una vulnerabilidad conocida de código abierto y que el 91 % tenía versiones desactualizadas de componentes de código abierto.
En 2022, la cantidad de ataques a la cadena de suministro (ataques a componentes de terceros, generalmente de código abierto de una base de código más grande) aumentó un 633 % año tras año, según un estudio de Sonatype.
A raíz de incidentes de alto perfil como el ataque de ransomware Colonial Pipeline que cerró las entregas de gas y petróleo en todo el sureste de los Estados Unidos y el ataque a la cadena de suministro de SolarWinds, el año pasado, la Administración Biden-Harris emitió una orden ejecutiva para mejorar la cadena de suministro de software. seguridad, creando una junta de revisión de seguridad cibernética para analizar los ataques cibernéticos y hacer recomendaciones para protecciones futuras. Y en mayo de 2022, la Casa Blanca se unió a The Open Source Security Foundation y Linux Foundation para solicitar $150 millones en financiamiento durante dos años para solucionar problemas pendientes de seguridad de código abierto.
Pero con el lanzamiento del AI Cyber Challenge, la Administración Biden evidentemente cree que la IA tiene un papel más importante que desempeñar en la ciberdefensa.
“El AI Cyber Challenge es una oportunidad para explorar lo que es posible cuando los expertos en ciberseguridad e IA tienen acceso a un conjunto de recursos entre empresas de un calibre combinado sin precedentes”, dijo Adams. “Si tenemos éxito, espero ver que AI Cyber Challenge no solo produzca la próxima generación de herramientas de ciberseguridad en este espacio, sino que muestre cómo la IA puede usarse para mejorar la sociedad defendiendo aquí sus fundamentos críticos”.
Si bien se ha escrito mucho sobre el potencial de la IA para ayudar en ciberataques – generando código malicioso, por ejemplo, algunos expertos creen que los avances de la IA podrían ayudar a fortalecer las defensas cibernéticas de las organizaciones al permitir que los profesionales de seguridad realicen tareas de seguridad de manera más eficiente. Según una encuesta de Kroll de líderes empresariales globales, más de la mitad dice que ahora está utilizando IA en sus últimos esfuerzos de seguridad cibernética.
Equipos en el AI Cyber Challenge participará en un evento clasificatorio en la primavera de 2024, y los mejores anotadores (hasta 20) serán invitados a una competencia semifinal en la conferencia anual DEF CON en 2024. Hasta cinco equipos recibirán premios de $2 millones y continuarán hasta la fase final de la competencia, que se llevará a cabo en DEF CON 2025. Y los tres primeros en la última ronda recibirán premios adicionales, y el ganador del primer lugar recibirá $4 millones.
A todos los ganadores se les pedirá, pero no se les exigirá, que abran sus sistemas de inteligencia artificial.
El AI Cyber Challenge se basa en la evaluación del modelo previamente anunciada por la Casa Blanca en el EF CON de este año, que tiene como objetivo identificar las formas en que los modelos de lenguaje grandes en la línea de ChatGPT de OpenAI pueden explotarse con fines maliciosos y, con un poco de suerte, llegar en correcciones para esos exploits. La evaluación medirá, además, cómo los modelos se alinean con los principios y prácticas descritos recientemente en el plan de la administración Biden-Harris para una «carta de derechos de IA» y el marco de gestión de riesgos de IA del Instituto Nacional de Estándares y Tecnología.