网络安全
Acronis SCS 与领先学者合作开发基于 AI 的风险评分模型

美国网络保护公司 Acronis SCS 与领先学者合作,通过使用人工智能(AI)来改进软件。该合作开发了一个基于 AI 的风险评分模型,能够量化评估软件代码漏洞。
该新模型在其第一阶段分析中表现出 41% 的改进,检测到常见漏洞和暴露(CVEs)。随后的测试也得到了同样令人印象深刻的结果,Acronis SCS 计划在模型完成后与公众分享。
软件供应商和公共部门
这种技术最伟大的方面之一是,它可以被其他软件供应商和公共部门组织使用。通过其使用,软件供应链验证可以在不损害创新或小型企业机会的情况下得到改进,而且它是这些组织的一种经济工具。
Acronis SCS 的基于 AI 的模型依赖于深度学习神经网络,扫描开源和专有源代码。它可以提供公正的量化风险评分,IT 管理员可以使用这些评分来做出准确的决策,涉及部署新的软件包和更新现有的软件包。
该公司使用语言模型来嵌入代码。语言模型是一种深度学习,结合了嵌入层和循环神经网络(RNN)。使用上采样技术和分类算法(如 Boosting、随机森林和神经网络)来衡量模型。
乔·巴尔博士是 Acronis SCS 的研究总监。
“我们使用语言模型来嵌入代码。语言模型是一种深度学习,结合了嵌入层和循环神经网络(RNN)”,巴尔博士告诉 Unite.AI。
“输入由函数对(函数、标签)组成,输出是函数易受黑客攻击(buggy)的概率 P(y = 1 | x)。由于正标签很少见,我们使用各种上采样技术和分类算法(如 Boosting、随机森林和神经网络)。我们通过 ROC/AUC 和百分位提升(前 k 个百分位中的“不良”数量,k = 1、2、3、4、5)来衡量“良好性”。”
高效验证过程
这种技术的另一个伟大机会是,它可以使验证过程更加高效。
“供应链验证,放在验证过程中,将有助于识别有缺陷/漏洞的代码,并将使验证过程更加高效,效率提高了几个数量级”,他继续说。
与所有 AI 和软件一样,了解和解决任何潜在风险至关重要。当被问及是否存在特定于开源软件(OSS)的独特风险时,巴尔博士说,有既有通用风险也有特定风险。
“存在通用风险和特定风险”,他说。“通用风险包括代码中的‘无害’漏洞,这些漏洞可能会被恶意行为者利用。特定风险与恶意行为者(如国家赞助机构)有关,他们故意将漏洞引入开源软件,以便在某个时候利用这些漏洞。”
分析的初始结果已在 IEEE 上发表,题为“组合代码分类和漏洞”。












