在報告的每10起網絡安全事件中，有9起是軟件代碼錯誤的結果。黑客特別重視所謂的“零日攻擊”(zero-day attack)——利用以前未知的漏洞侵入計算機系統。針對伊朗鈾濃縮計劃的計算機病毒“震網”(Stuxnet)，就是“零日攻擊”的著名例子。

然而，每年有數十億行的代碼被編寫，發現和糾正每個錯誤非常困難。美國和中國的研究人員認為，人工智能有望提供解決方案。

到目前為止，人類的努力未能跟上步伐。如果說有什么變化的話，那就是缺陷數量有增無減。例如，分析開源軟件的《Coverity Scan Report》去年收集的數據似乎表明，漏洞數量在增加。

美國軍方研究機構——國防高級研究計劃局(Defense Advanced Research Projects Agency, DARPA)的項目經理桑迪普?尼瑪(Sandeep Neema)表示：“軟件中的漏洞并沒有減少，這令人擔憂并帶來挑戰。”該機構已支出數百萬美元資助開發工作，目的是開發能夠檢測軟件漏洞的人工智能(AI)系統。

當前的軟件檢查技術有點像文字處理軟件中的拼寫檢查，識別拼寫或句法錯誤。在投放新軟件之前，開發人員通常還會審查彼此的代碼并進行測試。

尼瑪表示：“就我們如何提高軟件質量而言，最先進的方法仍然是測試驅動的?！彼f，這些方法的問題在于有許多差錯漏網——即使50%到75%的開發時間通常用于測試。AI漏洞探測器有望讓開發人員更準確地審查代碼，并減少他們的勞動強度。

機器學習科學家麗貝卡?拉塞爾(Rebecca Russell)在談到她幫助德雷珀實驗室(Draper Laboratory)設計的AI系統時表示：“它確實減少了他們花在尋找那些高優先級漏洞上的時間?！痹擁椖康玫紻ARPA的資助。根據麗貝卡及其同事今年夏天發表的一篇研究論文，德雷珀的系統掃描軟件以識別程序的哪些部分包含漏洞，其性能優于采用靜態分析（當前可用的最佳軟件審查方法之一）的三種工具。

該項目的技術總監馬克?麥考利(Marc McConley)表示，德雷珀實驗室目前正在與美國國防部的各個部門合作，以尋找該技術的應用領域。他說：“他們主要關心的是保護他們的大型軟件系統免受網絡攻擊，諸如此類的事情?！?/p>

但德雷珀也在開發能夠自動修復軟件漏洞的AI系統，雖然這項研究處于更早期的階段。多倫多大學(University of Toronto)計算機科學助理教授龍凡也從事自動軟件修復工作，他表示，未來幾年很可能會出現商業上可行的自動修復常規錯誤的工具。龍凡說：“修復這些差錯中的很多差錯并不需要很有創意。人們傾向于在類似的系統上犯類似的錯誤?！?/p>

中國政府機構也資助了漏洞檢測AI系統的研發。德克薩斯大學圣安東尼奧分校(University of Texas at San Antonio)的計算機科學教授徐壽懷表示，在對4種“非常廣泛使用的”商業軟件產品進行測試時，該系統發現了10個尚未檢測到的漏洞。徐壽懷和一些中國學者開發了該系統。鑒于此類漏洞可用于“零日攻擊”，徐壽懷拒絕進一步透露其團隊發現的漏洞的細節。

這些檢測安全風險缺陷的工具仍處于開發階段，但一些公司已經在使用AI進行一般軟件掃描。例如，視頻游戲制造商育碧(Ubisoft)在今年3月發布了一款工具，使用AI在軟件實施前標出存在錯誤的代碼。該公司位于蒙特利爾的研究實驗室負責人伊夫?雅基耶(Yves Jacquier)表示，他們的工具在測試期間將開發時間縮短了20%，公司計劃在今年底之前進行“重大”推出。

DARPA檢測漏洞的工作是“Muse計劃”的一部分，該計劃還在被稱為“大代碼”的更廣泛類別中促進AI研究。該領域基于與“大數據”大致相同的原則，考察海量代碼庫以生成見解，并學習如何編寫更好的代碼。它旨在從另一面解決軟件問題——通過創建從一開始就漏洞較少的代碼。