ASU反网络犯罪专家助力我们安心计算：与亚当·杜佩的问答

McSafe

ASU反网络犯罪专家助力我们安心计算：与亚当·杜佩的问答

网络安全与可信基础研究中心（CTF）主任相信该中心将成为网络安全行业的领导者

   

    亚当·杜佩一直对计算机的工作原理充满兴趣。当他还在上高中的时候，他在网上看到了一篇关于如何伪造电子邮件地址的帖子，并从santa@northpole.com这个地址给他的朋友们发送了一封电子邮件。他说，这让他大为震惊，因为如果你只是理解了技术的工作原理，你就能让它做出一些非常酷的事情。

    亚当·杜佩是亚利桑那州立大学网络安全与可信基础研究中心主任，他表示自己喜欢从事网络安全方面的工作，因为这全部关乎于理解系统的工作原理，以及拥有这方面知识的坏人会如何影响系统的运行。

    亚当·杜佩和他的团队致力于全面打造值得信赖且安全的技术和计算系统，并深入了解使用这些系统的人——包括犯罪分子。

    “有时，你需要比创造者更深入地理解事物，”亚当·杜佩说道。“你的背景并不重要……唯一的价值就是知识。任何人都可以学习我们创造的这些计算系统。它们不是魔法。是人类创造了它们。”

    杜佩认为，全球安全倡议（GSI）是开展此类网络安全工作的理想之地的原因之一在于，它不属于任何特定的学院或大学，这使得他的团队能够利用整个大学的专业知识。虽然计算机科学和工程学院的教师是至关重要的合作伙伴，但团队还与人类心理学和认知心理学等领域的专家建立了联系，共同为复杂的网络安全挑战寻求创新解决方案。

    在这次问答中，杜佩探讨了网络安全与可信基础研究中心（CTF）如何从非常全面的视角出发，确保人们在使用计算系统时的安全。

Q：这项工作对社会为何如此重要？

A：我们的大部分工作都集中在确保软件的安全性上。我们所使用的软件中存在的安全漏洞可能会被恶意人员利用，进而侵入我们的手机或网站。我们关注的一个关键点是提高软件的安全性，抢在坏人之前发现这些漏洞，从而帮助保护人们的安全。从国家安全的角度来看，我们希望确保运行着我们整个社会的软件是安全的，这就意味着要确保人们无法干扰我们的系统。我们关注的另一个方面是保护人们。无论黑客是利用低级别的软件漏洞，还是通过伪装成银行的网络钓鱼攻击，我们都希望能检测到这些行为，并防止人们意外地将重要信息泄露给犯罪分子。

Q：你认为该中心取得的最大成功之一是什么？

A：今年8月，我们隶属于网络安全与可信基础研究中心（CTF）的黑客团队在DARPA的AI网络挑战赛上荣获200万美元奖金。该团队创建了一个全自动系统，能够自主识别软件漏洞并利用现代人工智能技术对其进行修复。获奖团队主要由博士生组成，是加州大学圣塔芭芭拉分校、普渡大学和亚利桑那州立大学三校合作的成果，其中亚利桑那州立大学是主导学校。这真正体现了我们中心过去近十年来的工作成果。我们一直在参与DARPA项目，推动自动化漏洞分析技术的最新发展，并发现软件中的漏洞。

Q：学生是如何参与到中心的研究中的？

A：我们努力让各个层次的学生都参与进来。我们的博士生构成了研究中心的主要研究力量。他们承担了大量的繁重工作，但参与者并不只有博士生。我们还有硕士生和本科生。另一件让我非常自豪的事情是高中实习项目，这是一个一年一度的夏季项目，高中生可以与CTF的博士生一起参与研究项目。去年，我们收到了100多份申请。让来自凤凰城地区的学生参与进来，让他们接触研究工作，这真的很有意思。我们希望通过这种方式，能够激发下一代博士生和科学家。

Q：如果有人给你们的中心1亿美元，你们会怎么使用？

A：如果有1亿美元，我们真的可以采取一种全面的方法。我之所以觉得网络安全如此有趣，部分原因是很多问题和难题都出现在不同层级之间的交互中。我们过去常常认为硬件是安全的，但最近的研究发现硬件中存在需要软件修复的问题。因此，要从硬件层面一路解决到软件层面，甚至解决到使用软件的人的问题，就需要一种非常全面的方法。在亚利桑那州立大学，我们一直在推动这一点。我们在网络安全领域进行了大量招聘，我们中心有很多优秀的人才，他们也在研究人类因素等方面的工作。所以，如果有1亿美元，我可以组建一个实力超群的团队，专注于这些不仅跨越技术领域，还涉及社会问题的复杂挑战。

Q：你们领域面临的三个更为紧迫的挑战是什么？

A：一个紧迫的问题肯定是软件漏洞的激增。我们希望我们的iPhone和我们使用的服务器都是安全的。因此，在坏人之前开发出自动发现这些漏洞的技术至关重要。第二个挑战是对抗网络犯罪。当人们使用计算机系统时，试图找出犯罪分子欺诈人们的所有方式绝对至关重要。第三个挑战是了解系统背后的人，因为即使你打造出了最好、技术上最完美的安全解决方案，如果你以某种方式将其交给一个人操作，而这个人犯了错误（这是很自然的，因为他们是人类），那么这可能会破坏你所做的所有安全工作。因此，从网络安全的角度来看，保持人的参与度至关重要。

Q：您预见到的您所在领域的新兴挑战是什么？您的中心将如何应对这些挑战？

A：即将来临的一个重要趋势肯定是人工智能（AI）将如何塑造事物的发展。我非常兴奋，因为我们在AI网络挑战赛方面处于前沿地位，正试图理解如何驾驭AI为我们所用，而不是与我们为敌。人们非常担心网络钓鱼攻击会变得更为强大，因为这些攻击可以由AI生成。或者，如果你进一步预测并考虑由AI生成的深度伪造内容。随着AI技术的提升，以及犯罪分子越来越擅长使用这些技术，我们将努力解决身份识别问题，即“我是在和一个真实的人交谈，还是和一个骗子生成的虚拟形象交谈？”我认为AI将如何改变安全领域尚不得而知，但我们正努力走在前列，直面并尽早解决这些问题。

Q：对于即将到来的什么事物，你感到乐观？

A：作为一名科学家，我认为对事物持怀疑态度是健康的，特别是对那些被大肆宣扬的事物。人工智能（AI）就是其中之一。当然，我也玩过AI，它很有趣。它可以根据你想到的一些奇怪事物编写电影剧本，但我不知道这是否会有用。在我们开始这个AI网络挑战赛之前，我一直相当怀疑。AI现在还没有达到解决一切问题的程度。我们仍然需要多年来开发的所有其他酷炫的工具和技术，但我们能够解决一些以前无法很好解决的问题，比如编写一个修复软件漏洞的补丁。这是目前没有很好的自动化解决方案的问题，但当前的AI技术和大型语言模型在这方面表现得非常出色。我预见了一个未来，在这个未来中，我们所构建的自动化技术与基于大型语言模型（LLM）的人工智能（AI）技术将很好地协同工作，以尝试修复问题，并真正使人们不仅提高生产力，而且更加安全。因此，当他们在编写和开发代码时，我们的AI系统之类的系统会对其进行检查，这样，在代码甚至被推送给人们之前，就能发现其中的缺陷，我们可以在一个更加安全的基础上构建一切。现在的情况是，人们编写软件，然后在内部进行测试，找到漏洞后发布。然后，无论是恶意黑客还是善意黑客都会对其进行研究，并发现安全漏洞。善意黑客会将这些漏洞报告给公司，以便其进行修复，但即使他们发现了漏洞，这些漏洞也可能已经存在了几个月甚至几年。通过关闭这个循环，一旦开发人员编写了代码，系统就会立即对其进行检查，并说：“嘿，这是建议的修复方法。”

Q：您能谈谈您所在中心的合作伙伴关系以及它们是如何推动您们的研究的吗？

A：作为一个中心，我们为能够与不同机构合作的能力而自豪。我们的主要合作伙伴之一是DARPA（美国国防部高级研究计划局），我们非常喜欢与DARPA合作，因为他们了解难题，并愿意激励人们超越常规，追求卓越。多年来，我们参与了八个不同的DARPA项目。另一件非常棒的事情是我们更多地参与了ARPA-H（美国国立卫生研究院的DARPA版本）的工作。他们对影响医疗保健领域的问题采取了与DARPA类似的严格方法。我们开始了解这个至关重要的新领域，而网络安全之前基本上忽视了它。我认为我们做得很好的一件事是向人们传达这样一个信息：“嘿，当你的电脑有更新时，你应该安装那个更新。”这是在修复安全漏洞。然而，在医疗设备中，如果你想应用一个更新，通常需要重新测试和认证。人们更不愿意升级设备，因为一旦设备开始工作，它就能正常工作，而你不想冒升级后导致医疗设备出现问题的风险，这将对现实世界产生巨大影响。了解如何确保这些设备的安全以及如何在这个新领域操作一直是非常令人兴奋的。

Q：您的教学或教育方法对您的研究有何影响，或者反之亦然？

A：我们努力尝试的一件事就是彻底重新思考如何向学生教授网络安全知识。在我学习网络安全的时候，我们可能只了解了一种安全漏洞类型，然后如果运气好的话，我们会得到一个实际操作这项知识的作业。我们意识到，这与学习数学截然不同。你不能只是学习二次方程的理论，然后只做一道二次方程的题目就作罢。你需要做一系列题目，才能真正理解这个知识点是什么以及它是如何运作的。我们意识到，很多网络安全教育都缺少了动手实践这一环节。我认为这就像把手指放在键盘上一样，光有理论是不够的，你必须能够应用你所学的知识。计算机是非常挑剔和令人烦恼的。任何尝试过编程的人都知道，如果你漏掉了一个分号，整个程序就无法运行。在学习安全漏洞时也是如此，如果你的1放在了应该放0的位置上，它就是无法正常工作。因此，通过了解如何利用这些安全漏洞，你就能对整个系统有一个很好的理解。我们开发了一个名为“pwn.college”的平台，可以同时教授多门网络安全课程。在这个平台上，你可以进行动手实践式学习，完成多个挑战，而不仅仅是一个。真正令人兴奋的是，我们得到了很多认可和尊重。我们实际上已经能够将原本为期一个学期的课程压缩成两周或三周的高强度研讨会，并为美国国防部（Department of Defense）举办这些研讨会。这些员工希望接受额外的培训，所以他们参加这些课程，能够加速他们的动手实践学习。我们能够在亚利桑那州立大学（Arizona State University）做到这一点，真的感到非常激动。作为该中心的一部分，我们设立了新的美国网络安全教育（American Cybersecurity Education，ACE）研究所，该研究所由DARPA资助，旨在创建一个注重动手实践的进攻性网络安全硕士学位。在亚利桑那州立大学（ASU）开放和包容的精神指引下，pwn.college上的所有内容都是开源的，所有课程都向所有人开放，这是非常棒的一点。但ACE研究所的具体目标是创建这一硕士学位课程，然后允许其他大学使用该课程。我们正在与达科他州立大学（Dakota State University）和其他几所大学合作，在他们的学校开设类似风格的课程，这样我们不仅可以增加在亚利桑那州立大学学习网络安全的学生数量，还可以在全国范围内增加，我认为这非常令人兴奋。