0
讲真,黑客这种行当还是挺烧脑的。
根据那些顶尖黑客的血泪史,他们要搞定一个漏洞,绝非你想的那么轻巧。这就像搞定一个妹子一样,脑力上要谋划各种策略,体力上要给出各种姿势,是对脑力+体力的双重考验。
然而就是这样一个一般小白望而兴叹的“高壁垒”行业,居然出现了“抢生意”的,抢黑客生意的还不是别人,正是黑客自己研究出来的“机器黑客”。
这种大写的作死,我有点儿服。
本文作者史中(微信:Fungungun),雷锋网主笔,希望用简单的语言解释科技的一切。
前两天,一帮“爱作死”的中国大牛们就搞了一次“机器人黑客大赛”(翻译成逼格高的英语就是:Robo Hacking Game)。
这次比赛的最大看点倒不是机器人本身,而是同时有八支机器人队伍和四支人类队伍参加。这让人们立刻联想到了一年前阿法狗碾压李世石的杯具。
这次比赛的 Slogan大概是“有怨报怨有仇报仇”。
为了证明这次比赛的正经性,我还是先说说它的组织者。
图中分别为 360 安全专家李康(左)和永信至诚 CTO 张凯(右),还有冰露和防火门。
比赛的组织者有两拨,
一拨是红衣教主旗下的 360 安全专家,以美国乔治亚大学计算机系终身教授兼 360 智能安全专家李康为首。
另一波是来自“网络安全黄埔军校”的教育机构永信至诚(i春秋/e春秋)的宅男们,以永信至诚 CTO ,英国雷丁大学海龟宅男张凯为首。
有了这些大咖垫底,这次比赛就不是那种土包子的自娱自乐,而是国际顶尖的人工智能大咖们掐架的擂台。不信你来看看参赛队伍:
【机器人黑客大赛参赛队伍】
其中有9支国内队伍,3支海外队伍。从名头就能看出来,这些知名学校或机构,大多属于“拿多少钱都混不进去”的类型。
下面雷锋网来说说这次比赛的规则。
这次比赛的规则比较简单,采用了经典的“CTF”模式。所谓 CTF(Capture The Flag),简单来说就是黑客的“奥数”:
主办方出几十道题目,内容大体就是挖漏洞。谁解出来就可以用漏洞“怼”别人一下,怼了别人之后自己就能得分。谁的分高谁赢。
人机大战、人人大战和鸡鸡大战整整进行了一整天。不知道你有没有猜到结果:
人类战队 Mirage 夺得第一,而机器人战队 Tinker 取得了第二名的成绩,后面的名次人类黑客略占先。
【机器人黑客大赛最终排名】
这个成绩,也算是为李世石报了一箭之仇。
不过,平胸而论,这个挖漏洞和下围棋的两种机器人究竟有没有可比性呢?我专门找到了这次比赛的两位技术负责人李康和张凯问了一下。
老司机们可能都知道,其实这不是第一次人类黑客和机器黑客同场竞技了。
说个往事吧:
每年全球最受瞩目的黑客大赛莫过于在美国赌城拉斯维加斯举办的 DEFCON CTF,2016年的比赛里,就引入了一支机器人队伍。这只队伍名叫 Mayhem,来头不小。它先是在美国国防部举办的机器人黑客比赛 CGC 上碾压其他机器人拿到了第一名,然后才有资格到 DEFCON 和人类选手一较高下的。
那次比赛的结果是,Mayhem 垫底。
往事回首完毕。
常年和美国各个顶尖大学切磋的李康说,虽然那次比赛机器人垫底,但并不能说它的真实水平就是最差的。因为这种比赛就像打牌一样,不仅考验你的牌好不好,还要考验你的出牌策略。
机器在挖漏洞上有自己的优点,有时候还能解出很难的题目,但人类这帮老油条,最会玩心眼。计算机好不容易解出一道题,用来攻击人类队伍,不一会就被人类队伍用“重放攻击”的方法抄了去,然后再反咬一口。
他说。
相比之下,机器人还是有点天真,而且吃了哑巴亏还不会骂脏话。
不过,张凯觉得机器策略上的失利只是暂时的。
我看到排名第一名站队反应是非常非常迅捷的,他们总结了赛题的特点,很快就开始利用规则刷分。这是人类占先的地方。但机器人没有加入这样策略,如果这个比赛形式成为一个标准,多次使用的话,适应这个策略的机器人一定会出现,那个时候成绩肯定有更大飞跃,会更有说服力。
当然,上述这些只是机器人的策略失误,那么纯粹就挖掘漏洞的能力来说,机器人怎么样呢?
图为组委会在4月27日组织的另一场人类黑客对抗赛,有两支参赛队伍成功吸引了我的注意力,一支叫做:孕妇防护服,一支叫做:蜂花护发素糊孕妇防护服。最终,孕妇防护服队成功击败蜂花护发素糊孕妇防护服队取得了冠军。
先说个两背景知识:
这就使得机器人黑客可以同时对付几个赛题,并且像学霸奥数冠军一样有可能解出最难的题。比赛的过程也印证了这一点。
一旦遇到多层级的选择判断(也就是复杂的局面),就要消耗大量的计算资源,此时机器的表现就是“懵逼”。
而面对复杂的局面,人往往能迅速把情况在心中简化,用大脑十几瓦的能耗就算出一个差不离儿的结果,这种表现我们叫“直觉”。
当然,计算机的算力越强,懵逼的机会就相对少一些。
这次机器人黑客大赛组委会给每个队伍发了一台服务器,这台服务器的计算能力有多强呢?我们做个比较吧。
之前提到的美国 CGC 机器人黑客大赛给每个队伍一台超算,租用价格是五十万,美元。
这次中国的机器人黑客大赛给每个队伍发的服务器,购买价格是两万,人民币。
别激动,毕竟是社会主义初级阶段。好在所有机器人都是小米加步枪,挺平等的。等等,相比之下那些人类团队可是动辄就十几号人,这怎么解释?李康和张凯这两位技术大咖也羞赧地表示这稍微有点不公平。
从本质上来说,机器人黑客和阿法狗还是不同的。
简单来说下不同点。
阿法狗下的是围棋,它的“功力”来自于对无数棋谱数据的研究,它的知识来源甚至包括自己和自己下棋产生的数据,是典型的基于大数据的人工智能,特点是可以自我进化。
机器人黑客面对的是比围棋更加复杂的环境,而代码在各个维度会出现各个漏洞。在这个方面人类自己都还没搞得很清楚,所以没有办法提供足够的数据。所以,机器人黑客更像是一个专家系统,也就是有经验的黑客教会机器怎么挖漏洞,机器就听话地不断去努力。但是没有人力帮助,它绝不可能自我进化。
简单来说,挖漏洞比下围棋更难。
但是,任何难的事情,都是从简单开始的。360 和永信至诚搭建的这个比赛环境,其实是对现实世界做了简化,让赛题像棋盘一样具有了“边界”。
张凯说:“我们的题目规定了在什么系统上什么样的赛题,有多少种漏洞,机器人要运行在什么样的环境下。
这就是“棋盘的边界”。
图为和阿法狗下棋时的李世石,李世石内心OS:“你弄啥嘞?”
说了这么多,机器人黑客的水平究竟怎么样呢?
在安全圈内有个流言:真正能挖漏洞会利用的才是真正的黑客,是在金字塔顶端的一批人。曾经有个大牛说过,如果说现在圈内有10万的安全工程师的话,能做漏洞挖掘和漏洞利用的肯定不会超过一万。
张凯说:“很多黑客小白还大都停留在使用已有工具和社工的方式层面,当然这也是安全的一部分,但漏洞挖掘和利用永远是信息安全皇冠上的明珠。”
从这个角度上来说,能挖掘漏洞的黑客能力已经远远超过了小白。
李康觉得,现在扔一个程序进去,完全“可以替代初级安全人员”。
就像富士康工人被机器取代一样,初级黑客也是可以被机器取代的。学艺不精的黑客小白们可以再体会一下这部分,鞭策一下自己。
图为1997年,美国人屏气凝神观看深蓝和卡斯帕罗夫的围棋人机大战,卡斯帕罗夫痛苦的表情让人心碎。
刚才所说的一切,其实都规避了一个重要的现实,那就是人和机器一直是没有分开的。
李康说,机器人黑客大赛本质上和阿法狗对战李世石不一样。李世石下棋的时候,根本没有利用任何计算机做辅助;机器人黑客和人类黑客的对战中,人类黑客却一直在利用黑客工具和计算机辅助自己。简单来说,机器它一定是个机器,人他不一定是个人。
从这个角度来说,这个比赛还真有点不公平。
但这不重要,计算机黑客诞生的目的显然不是为了和人类争高下。
李康觉得,“安全自动化”正是为了弥补网络安全的人才缺口。一旦有一种新的防御黑客方法产生,计算机可以迅速把这种方法铺开,反映极为迅猛。未来如果我们能得到更安全的网络环境,一定是因为我们很大程度上依赖了机器的自动防护。
简单来说,“人类黑客+机器黑客”才是未来相当长一段时间内黑客的正确打开方式。这次比赛的标题被定为“一小步”。它昭示着,至少机器已经能和人类同台竞技了。
从1960年开始,就有科学家不断尝试用人工智能和人类下棋;
直到1997年,深蓝才第一次在国际象棋比赛中战胜卡斯帕罗夫;
直到2016难,阿法狗才第一次在围棋比赛中战胜李世石。
很多人认为,即使人类被允许利用人工智能辅助自己,也无法在围棋中赢下阿法狗,因为人类的智商只会拉低人工智能的决策水平。
我问李康,你是否相信未来纯机器人黑客会战胜人类黑客和机器黑客的组合?
他说,我相信。
本文作者史中(微信:Fungungun),雷锋网主笔,希望用简单的语言解释科技的一切。题图为机器人黑客大赛比赛页面。
本文部分观点引述自李康和张凯,在此致谢。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。