a16z crypto 發布了一篇關於領先的 AI 安全解決方案以及 Vibe Coding 時代 AI 安全的文章。 @peachmint 分享給了我，所以我讀了。 文章中介紹的 AI 安全解決方案大致分為三類： 1. 來自 AIxCC（美國國防部主辦的 AI 安全解決方案競賽）的解決方案 • 這些解決方案專注於自動化模糊測試，大多數方案將現有工具與 AI 集成，而不是引入全新的方法。它們使用經過微調的模型在漏洞檢測後進行修復。 2. Google 的 Big Sleep • 一個模擬人類安全研究人員行為的代理。它主要用於發現 C 程式碼中的記憶體漏洞，並使用位址清理器來驗證這些漏洞。 • 這些解決方案只能偵測漏洞，而無法修復漏洞。 Google 目前正在開發的 CodeMender 專案預計將改進這一點。 3. OpenAI 的 Aardbark • 它並非專注於漏洞檢測，而是更傾向於成為一個基於推理的輔助工具，幫助人類研究人員。 文章總結道，在當前「振動編碼」時代，程式碼不一致，安全實踐也多種多樣，導致現有安全系統難以統一應用。特別是人工智慧安全系統，在識別和修復漏洞時經常出現「幻覺」。儘管如此，文章認為人工智慧將是解決這個問題的工具，並且專用模型和代理系統有望隨著時間的推移而不斷發展。 這次討論比預期的更偏重理論，這有點令人失望。既然我們談到了 AIxCC，我想討論一下 AIxCC 決賽入圍者的方法和最新進展。如果你無聊的話，可以看看這個影片。 第一名：亞特蘭大團隊的 Atlantis • 由喬治亞理工學院、三星研究院、韓國科學技術院 (KAIST) 和浦項科技大學 (POSTECH) 共同組成 • 模糊測試 + 符號執行 + 精細調優的專有模型 • 針對每種語言和階段使用不同策略的代理 • github.com/Team-Atlanta/aixcc-... 第二名：Trail of Bits 的 Buttercup • 傳統模糊測驗工具（例如 libfuzzer）+ 非推理 LLM => 高性價比 • github.com/trailofbits/butterc... 第三名：Theory 的 Roboduck • 依賴現代 LLM 程式碼分析，而非傳統的二進位分析技術。傳統技術作為備用方案 • 重現人類安全研究人員的工作流程 • 使用 Xint Code 開發商業安全解決方案 • github.com/theori-io/aixcc-afc... 第四名：Fuzzing Brain（作者：All You Need Is A Fuzzing Brain） • 與 Roboduck 類似，它依賴 LLM，並具有模糊測試回退機制。 • 它並行運作 23 種不同的 LLM 策略。 • github.com/o2lab/afc-crs-all-y... 第五名：Shellphish 的 Artiphishell • 由加州大學聖塔芭芭拉分校、亞利桑那州立大學和普渡大學共同組成 • 開發了 GrammarGuy，專門用於模糊測試複雜的輸入格式，並基於 LLM 覆蓋率回饋不斷改進語法生成 • 連結靜態分析、動態分析、分類和修補程式的流程 第六名：42-b3yong-bug 的 BugBuster • 由西北大學等共同組成 • 專注於模糊測試的漏洞偵測 • 偵測到的漏洞數量排名第二，但補丁成功率低導致最終排名靠後 第七名：美國國防公司 SIFT 的 Lacrosse • 對一個使用了 10 年的遺留系統進行現代化改造 • 模糊測驗 + 符號推理 • github.com/siftech/afc-crs-lac... 原文：a16zcrypto.com/posts/article/a...