В сфере кибербезопасности наступает новая эра, где машинный интеллект не просто помощник, но и активный участник в обеспечении безопасности цифровых систем. В этом году DARPA (Агентство перспективных оборонных исследовательских проектов США) запустило главную фазу AI Cyber Challenge (AIxCC) — конкурс, где автономные системы искусственного интеллекта соревнуются в обнаружении и устранении уязвимостей в популярном открытом программном обеспечении. На кону — рекордные призовые фонды и будущее автоматизированной безопасности. Одним из ведущих участников соревнования выступает Butlercup — система от компании Trail of Bits, разработанная в течение последних двух лет и уже доказавшая свою эффективность и инновационность в мире кибербезопасности. Главный этап соревнования AIxCC, который начался в начале июля 2025 года, знаменует собой кульминацию многолетних исследований и испытаний.
Главная задача участников — автономно анализировать множество популярных и широко используемых проектов с открытым исходным кодом на языке C и Java. Среди целевых программ оказались такие лидеры отрасли, как SQLite, Nginx, Apache Tika, Jenkins и ядро Linux. Особенностью заданий стало то, что организаторы конкурса перезаписали в эти программы реальные исторически существовавшие уязвимости. Таким образом, системы испытывались на обнаружение именно тех уязвимостей, которые когда-то нанесли большой ущерб или вызвали активные атаки. Buttercup создан с использованием передовых технологий машинного обучения и анализа кода, что позволяет системе не только обнаруживать проблемы, но и создавать качественные исправления, сохраняющие функциональность программ.
В отличие от стандартных инструментов автоматического тестирования и статического анализа, Buttercup сочетает в себе инновационные AI-модели для генерации тестов, ускоренного fuzz-тестирования и точной классификации предупреждений о возможных уязвимостях. Это позволяет системе значительно эффективнее накапливать очки за все три ключевых категории: подтверждение уязвимостей (через успешные краши или срабатывания санитайзеров), исправление проблем с помощью корректных патчей и правильную классификацию алертов, что критично для снижения ложных срабатываний и облегчения работы специалистов. Соревновательная среда AIxCC значительно масштабна: каждую систему снабдили мощным вычислительным ресурсом и бюджетом на использование сторонних AI-сервисов. Такой подход обусловлен задачей продемонстрировать, что автономные решения способны сразу масштабироваться на нужды защиты огромного массива открытого программного обеспечения, который используется везде — от мобильных устройств до серверных инфраструктур. Конечная цель — обеспечить фундамент для создания полностью автономных защитных систем, которые смогут заблаговременно выявлять даже те уязвимости, которые не были известны разработчикам и сообществу.
Для команды Trail of Bits AIxCC стал как вызовом, так и возможностью реализовать результат многолетних усилий. Проект Buttercup приобрел особое значение не только как инструмент для конкурса, но и как пример того, как искусственный интеллект может кардинально преобразовать процессы обеспечения безопасности. В течение последних двух лет разработчики постепенно внедряли и совершенствовали модули, включая глубокое обучение, динамический анализ и автоматическую генерацию патчей. Цветущая интеграция этих технологий дала результат в виде робота, способного автоматически находить сложные баги и устранять их без ущерба для работы приложений. По окончании основного соревновательного раунда, который пройдет в рамках финала на конференции DEFCON 33 в августе 2025 года, организаторы DARPA и ARPA-H объявят победителей и распределят призы, в общей сложности составляющие восемь миллионов долларов.
Победитель получит четыре миллиона, а призовые за второе и третье место составят три миллиона и полтора миллиона соответственно. Команда Trail of Bits намерена лично присутствовать на этой грандиозной церемонии и будет активно участвовать в мероприятиях AIxCC Experience. Для тех, кто посетит DEFCON, предусмотрена возможность пообщаться с разработчиками, посетить их стенд и узнать из первых рук о сложностях и успехах создания Buttercup. Помимо участия в конкурсе, в ближайшие месяцы команда Trail of Bits планирует выпустить Buttercup под лицензией открытого программного обеспечения, что станет важным шагом для сообщества. Они намерены адаптировать систему для запуска на обычном оборудовании, давая возможность широкому кругу специалистов и энтузиастов познакомиться и использовать возможности искусственного интеллекта в области кибербезопасности.
Кроме того, после завершения соревнований будет опубликована более подробная техническая информация, раскрывающая, как Buttercup интегрирует AI с классическими методами fuzz-тестирования и анализом патчей. AI Cyber Challenge — жемчужина новаторских проектов DARPA, направленных на автоматизацию и повышение эффективности киберобороны. Среди конкурентов AIxCC участвуют ведущие исследовательские лаборатории и компании, что поднимает планку и стимулирует развитие новых технологий в области ИИ и компьютерной безопасности. Возможность для системы не просто проходить тесты, а действовать в максимально приближенных к реальности условиях, позволяет оценить их практическую применимость в решении актуальной проблемы миллионов пользователей и организаций. Buttercup — это не просто проект, а символ эволюции кибербезопасности.
Его успехи и сложности помогают сообществу понять, как правильно применять искусственный интеллект для активной защиты и мониторинга ПО. Благодаря высокому качеству патчей, эффективной фуззинг-стратегии и продвинутым методам классификации уязвимостей Buttercup способен снижать риски, предотвращать взломы и существенно уменьшать человеческий фактор в анализе критических систем. В совокупности, AIxCC и задачи, решаемые Buttercup, задают вектор развития индустрии на ближайшие годы. Мы видим переход от традиционных ручных методов аудита к полностью автоматизированным системам с искусственным интеллектом, способным оперативно реагировать на новые угрозы. Такой формат испытания даёт возможность понять глубину возможностей современных CRS (Cyber Reasoning System) и определить сильнейшие разработки, которые станут прототипом будущих стандартов безопасности в IT.
Для специалистов по кибербезопасности, разработчиков программного обеспечения и исследователей AI конкурс DARPA AI Cyber Challenge — это не просто мероприятие, а окно в будущее, где безопасность гарантирует не только мастерство человека, но и мощь машинного интеллекта. Следить за успехами Buttercup и других участников — значит быть в курсе последних тенденций и технологий, меняющих правила игры в защите цифровых активов по всему миру.
