DARPA欲借SocialCyber项目摸底开源代码的可信度

经历数十年的发展，以 Linux 为代表的的开源软件，已经在人们的日常工作和生活中做到“润物细无声”。现实是，开源代码几乎有在地球上的每一台计算机上运行。但与此同时，美国国防部高级研究计划局（DARPA）也对其可信程度产生了一丝顾虑。

毫不夸张地说，当今世界重度依赖于 Linux 内核 —— 即便大多数人从未听说过它。

作为大多数计算机启动时最先加载的程序之一，它使得运行机器的硬件能够与软件交互、控制资源调用、并充当操作系统的基础。

同时它也是几乎所有云计算、超算、物联网、以及数十亿智能机的核心构建块。

然而内核的开源，也意味着任何人都能够参与到代码的编写、阅读和使用过程中，这点让美国军方内部的网络安全专家感到十分担心。

网络安全研究员兼前 NSA 计算机安全科学家 Dave Aitel 指出：

开源性质意味着 Linux 内核 —— 以及许多其它关键的开源软件 —— 以我们仍然几乎不了解的方式，暴露于恶意的操纵之下。

作为当前社会的核心技术，不升入了解其内核的安全性，就意味着我们无法对关键基础设施给予严格的安全防护。

现在，美国军方研究机构 DARPA 想要全面了解这些开源项目的功能代码和社区冲突。

通过更好地了解它们面临的风险，从而更加有效地识别恶意行为者，防止后续对至关重要的开源代码造成破坏。

具体说来是，DARPA 设立了一个计划长达 18 个月、耗资数百万美元的“SocialCyber”项目。

与之前的大多数研究不同，SocialCyber 结合了开源软件代码和社会维度的自动分析。

通过融合社会学与人工智能研究的最新技术进展，它得以绘制、理解和保护这些庞大的开源社区，及其创建的代码。

DARPA 项目经理 Sergey Bratus 表示：

从最初的集体用爱发电、到形成全球性的基础设施，再到互联网本身、关键行业和几乎无处不在的关键任务系统的基础，开源生态系统可谓是人类历史上最伟大的创造之一。

因为它能够节省资金、吸引人才、并让诸多工作变得更加轻松，现代文明正高度依赖于不断扩大的开源代码库，比如电网、航路、运输等行业的系统。

另一方面，以 Dave Aitel 为代表的专家认为，尽管开源运动催生了一个所有人依赖的庞大生态系统，但我们并不完全理解它。

其中包含了无数的软件项目、数百万行代码、无数的邮件列表和论坛，以及身份和动机都不十分明确的贡献者群体，结果使得责任很难被追究。

MIT Tech Review 指出：近年来，黑客多次悄悄地将恶意代码插入到开源项目中，这些后门可能长期逃过检测。

在最坏的情况下，整个项目都可能移交给了滥用开源社区信任的不良行为者来接管，导致代码、甚至社区网络都被其所染指。

在大海捞针的情况下，即使想要追责，也全然不是仅凭普通人手就能够实现的。

有鉴于此，Bratus 认为我们需要借助机器学习技术来消化和理解不断扩大的代码领域，

除了自动漏洞发现等实用工具，还需要能够理解开源社区的代码编写、修复、实施与影响。

最终目标是检测并抵御任何恶意活动，提交有缺陷的代码、介入干预、阻止开发，甚至接管整个开源项目。

为此研究人员将使用情绪分析等工具，来分析开源社区内的社交互动 —— 比如 Linux 内核邮件列表。

这将有助于确定谁在积极参与建设，同时谁又在消极怠工或悄悄搞破坏。

至于 SocialCyber 项目的运作方式，DARPA 已同多个团队签订了协议，其中不乏具有深厚技术底蕴的小型竞品网络安全研究机构。

以总部位于纽约的 Margin Research 为例，其已组建一支由备受推崇的研究人员所组成的团队。