Dans le cadre d’une initiative en cours de la Maison Blanche visant à rendre les logiciels plus sûrs, la Defense Advanced Research Projects Agency (DARPA) prévoit de lancer un concours de deux ans, le AI Cyber Challenge, qui chargera les concurrents d’identifier et de corriger les vulnérabilités logicielles à l’aide IA.
En collaboration avec les startups d’intelligence artificielle Anthropic et OpenAI, ainsi que Microsoft et Google, l’AI Cyber Challenge mettra en compétition des équipes basées aux États-Unis pour sécuriser au mieux les « logiciels vitaux » – en particulier le code d’infrastructure critique – à l’aide de l’IA. Avec l’Open Source Security Foundation (OpenSSF) de la Linux Foundation en tant que conseiller du défi, 18,5 millions de dollars en prix seront attribués aux meilleurs candidats.
La DARPA dit qu’elle mettra également à disposition 1 million de dollars chacun pour jusqu’à sept petites entreprises qui souhaitent participer.
« Nous voulons créer des systèmes capables de défendre automatiquement tout type de logiciel contre les attaques », a déclaré aux journalistes Perry Adams, responsable du programme DARPA, qui a conçu le AI Cyber Challenge, lors d’un point de presse hier. « Tes progrès récents de l’IA, lorsqu’ils sont utilisés de manière responsable, ont un potentiel remarquable pour sécuriser notre code, je pense.
Adams a noté que le code source ouvert est de plus en plus utilisé dans les logiciels critiques. Une récente enquête GitHub montre que 97 % des applications exploitent le code open source et que 90 % des entreprises appliquent ou utilisent le code open source d’une manière ou d’une autre.
La prolifération de l’open source a conduit à une explosion de l’innovation. Mais cela a également ouvert la porte à de nouvelles vulnérabilités et exploits dommageables. Une analyse de 2023 de Synopsys a révélé que 84% des bases de code contenaient au moins une vulnérabilité open source connue et que 91% avaient des versions obsolètes de composants open source.
En 2022, le nombre d’attaques de la chaîne d’approvisionnement – attaques contre des composants tiers, généralement open source d’une base de code plus large – a augmenté de 633% d’une année sur l’autre, selon une étude de Sonatype.
À la suite d’incidents très médiatisés comme l’attaque de rançongiciel Colonial Pipeline qui a interrompu les livraisons de gaz et de pétrole dans le sud-est des États-Unis et l’attaque de la chaîne d’approvisionnement SolarWinds, l’année dernière, l’administration Biden-Harris a publié un décret exécutif pour améliorer la chaîne d’approvisionnement en logiciels. sécurité, en créant un comité d’examen de la sécurité en matière de cybersécurité pour analyser les cyberattaques et faire des recommandations pour les protections futures. Et en mai 2022, la Maison Blanche s’est jointe à l’Open Source Security Foundation et à la Linux Foundation pour demander un financement de 150 millions de dollars sur deux ans pour résoudre les problèmes de sécurité open source en suspens.
Mais avec le lancement de l’AI Cyber Challenge, l’administration Biden pense évidemment que l’IA a un rôle plus important à jouer dans la cyberdéfense.
« Le AI Cyber Challenge est une chance d’explorer ce qui est possible lorsque des experts en cybersécurité et en IA ont accès à une suite de ressources interentreprises d’un calibre combiné sans précédent », a déclaré Adams. « Si nous réussissons, j’espère voir l’AI Cyber Challenge non seulement produire la prochaine génération d’outils de cybersécurité dans cet espace, mais montrer comment l’IA peut être utilisée pour améliorer la société en défendant ici ses fondements essentiels. »
Alors que beaucoup a été écrit sur le potentiel de l’IA pour aider à la cyberattaques — en générant du code malveillant, par exemple — certains experts pensent que les progrès de l’IA pourraient aider à renforcer cyberdéfense des organisations en permettant aux professionnels de la sécurité d’effectuer des tâches de sécurité plus efficacement. Selon un sondage Kroll auprès de chefs d’entreprise mondiaux, plus de la moitié déclarent utiliser désormais l’IA dans leurs derniers efforts en matière de cybersécurité.
Les équipes du AI Cyber Challenge participeront à un événement de qualification au printemps 2024, et les meilleurs buteurs – jusqu’à 20 – seront invités à une demi-finale lors de la conférence annuelle DEF CON en 2024. Jusqu’à cinq équipes recevront des prix de 2 millions de dollars et passeront à la phase finale du concours, qui se tiendra au DEF CON 2025. Et les trois premiers du dernier tour recevront des prix supplémentaires, le vainqueur de la première place recevant 4 millions de dollars.
Tous les gagnants seront invités – mais pas obligés – à ouvrir leurs systèmes d’IA.
L’AI Cyber Challenge s’appuie sur l’évaluation du modèle annoncée précédemment par la Maison Blanche lors de l’EF CON de cette année, qui vise à identifier les façons dont les grands modèles de langage du type ChatGPT d’OpenAI peuvent être exploités à des fins malveillantes – et, avec un peu de chance, arriver à des correctifs pour ces exploits. L’évaluation mesurera, en outre, dans quelle mesure les modèles s’alignent sur les principes et les pratiques récemment décrits dans le plan directeur de l’administration Biden-Harris pour une «déclaration des droits de l’IA» et le cadre de gestion des risques de l’IA de l’Institut national des normes et de la technologie.