微軟用AI技術清除軟件漏洞

微軟聲稱已經開發出一種系統，能夠在99%的時間里正確區分安全漏洞和非安全漏洞，并且能夠在97%的時間里準確識別出關鍵的、高優先級的安全漏洞。

在接下來的幾個月里，它計劃在GitHub上開源這個技術，以及一些示例模型和其他資源。

這項工作表明，這樣一個系統可以有效幫助人類的技術專家。該系統通過AzureDevOps和GitHub知識庫，對微軟47000名開發人員的1300萬個工作項和bug數據集進行訓練。

據估計，開發人員每1000行代碼就會產生70個bug，而修復一個bug所需的時間是編寫一行代碼所需時間的30倍；在美國，每年有1130億美元用于發現和修復這些bug。

在構建該模型的過程中，微軟表示，安全專家批準了培訓數據，并使用統計抽樣為這些專家提供可管理的數據進行審查。

然后，這些數據被編碼成“特征向量”的形式，微軟的研究人員通過‘兩步走“設計好系統。首先，該模型學會了對安全性和非安全性bug進行分類，然后它學會了對影響安全性bug的重要程度進行分級。

微軟的模型利用了兩種技術來進行錯誤預測。

第一種技術，是術語頻率逆文檔頻率算法（TF-IDF），這是一種信息檢索方法，它根據單詞在文檔中出現的次數來賦予其重要性，并檢查該單詞在整個標題集合中的相關性。（微軟稱，它的漏洞標題通常很短，只有10個字左右。）

第二種技術，是一種邏輯回歸模型。它使用邏輯函數來建模預測某類或某件事件存在的概率。

微軟表示，該模型已在內部部署到生產環境中，并將繼續使用安全專家批準的數據進行再培訓，這些專家負責監控軟件開發過程中產生的bug數量。

每天，軟件開發人員都盯著一長串需要解決的代碼和bug。

“安全專家試圖通過使用自動化工具優先解決安全漏洞，但工程師們往往把時間浪費在錯誤的地方，使得他們錯過了發現重要的安全漏洞?！蔽④浉呒壈踩椖拷浝硭箍铺亍た死锼骨偕臀④洈祿蛻每茖W家佩雷拉在一篇博客文章中寫道。“我們發現，通過將機器學習模型與安全專家配對，可以顯著提高安全漏洞的識別和分類水平?！?/p>

微軟并不是唯一一家使用人工智能清除軟件漏洞的科技巨頭。

亞馬遜的CodeGuru服務在一定程度上是針對代碼審查和亞馬遜內部開發的應用開發的，它能發現資源泄漏和CPU周期浪費等問題。

至于Facebook，它開發了一個工具叫SapFix。在把生成的代碼發送給人類工程師批準之前，它會修復好bug。（雷鋒網，公眾號：雷鋒網）

雷鋒網編譯，來源：VentureBeat：https://venturebeat.com/2020/04/16/ai-spots-critical-microsoft-security-bugs-97-of-the-time/

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。