Después de dos años de competencia, los ganadores del AI Cybersecurity Challenge (AIXCC) fueron revelados en el evento de piratería Defcon 33 el 9 de agosto. El equipo Atlanta fue revelado como el equipo ganador. El grupo es una colaboración poderosa de expertos del Instituto de Tecnología de Georgia (Georgia Tech), Samsung Research, el Instituto Avanzado de Ciencia y Tecnología de Corea y la Universidad de Ciencia y Tecnología de Pohang. Ganaron un premio de $ 4 millones. Trail of Bits, una firma de ciberseguridad con sede en Nueva York especializada en investigación de seguridad de vanguardia, llegó en segundo lugar, asegurando un premio de $ 3 millones en el desafío cibernético AI de alto riesgo. El tercer equipo de mejor desempeño fue Theori, un grupo de investigadores de IA y profesionales de la seguridad que abarcan los Estados Unidos y Corea del Sur, completando la exhibición competitiva de la Agencia de Proyectos de Investigación Avanzada de Podio en Defensa (DARPA), con un premio de $ 1.5 millones. Los tres sistemas de razonamiento cibernético desarrollados por el trío son parte de un conjunto de cuatro modelos que han sido de código abierto y ya están disponibles para que todos los usen. «Los otros tres modelos estarán disponibles en las próximas semanas», dijo el director de DARPA, Stephen Winchell, durante la sesión de anuncios en Defcon 33. AIXCC: Dos años en la realización anunciada en Black Hat 2023 por Perri Adams, gerente de programas de DARPA, AIXCC fue una competencia para científicos informáticos, expertos en AI, desarrolladores de software y otros ciberdintas de cibercipucia para crear una nueva generación de AI-PowerS de AI-PowerS. asegurando la infraestructura crítica de los Estados Unidos y los servicios gubernamentales. Específicamente, DARPA y la Agencia de Proyectos de Investigación Avanzada para la Salud (ARPA-H), otra agencia gubernamental de los Estados Unidos, financiaron este proyecto para explorar si la IA puede ayudar a encontrar y fijar las vulnerabilidades de software de manera más efectiva y marcar el comienzo de un futuro donde los ataques se pueden detener tan rápido como se detectan. Los siete finalistas (Team Atlanta, Trail of Bits, Theori, todo lo que necesitas es un cerebro confuso, shellphish, 42-b3yond-6ug y lacrosse) se anunciaron en Defcon 32 en agosto de 2024 y se les otorgó $ 2 millones cada uno. Los gigantes tecnológicos Google, Microsoft, Anthrope y OpenAi respaldaron colectivamente la competencia con más de $ 1 millones cada uno en créditos modelo de IA, asegurando que los equipos tenían la potencia de fuego computacional necesaria para abordar los desafíos de seguridad de la infraestructura crítica. Hablando antes del anuncio de los ganadores, Jim O’Neill, subsecretario del Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS), dijo que DARPA y ARPA-H inyectarán $ 1.4 millones adicionales además de los $ 29.5 millones planeados para premios en dinero. Durante una conferencia de prensa posterior al anuncio, Andrew Carney, gerente de programa de AIXCC, reveló que la financiación adicional apoyará a los finalistas en la refinación de sus herramientas para la implementación del mundo real. La distribución de estos fondos adicionales ocurrirá en incrementos en etapas, sujeto a los equipos ganadores que demuestran la adopción medible de sus herramientas por organizaciones clave de infraestructura. Enfoques con AI con fallas de parche más rápido a $ 152 por solución durante la fase final de AIXCC, realizada durante el año pasado, los equipos participantes tuvieron el mandato de desplegar sus sistemas dentro de un entorno controlado y simulado sembrado deliberadamente con fallas introducidas por los organizadores de la competencia. Los siete equipos finalistas descubrieron 54 de las 70 vulnerabilidades sintéticas integradas intencionalmente en el desafío, lo que representa una tasa de detección del 77%. Esta es una mejora significativa en comparación con la ronda semifinal del año pasado, durante la cual los equipos descubrieron solo el 37% de las vulnerabilidades conocidas. Pudieron parchear 43 de estos 54. Los siete equipos finalistas también detectaron 18 defectos previamente desconocidos del mundo real que los organizadores no plantaron y parcharon 11 de ellos. Estos descubrimientos de día cero resaltan la capacidad de los modelos para identificar debilidades críticas más allá de los entornos de prueba controlados. “Ahora estamos en el proceso de revelar [these real-world zero-day vulnerabilities] a los mantenedores ”, dijo Carney en el escenario. La velocidad y la eficiencia fueron definir las fortalezas. En promedio, los sistemas de IA parcheó vulnerabilidades en solo 45 minutos, una mejora dramática sobre los procesos manuales tradicionales. Jennifer Roberts, directora de sistemas resilientes en ARPA-H, dijo a las prensas que estas capacidades son particularmente importantes en el sector de la salud, cuando se lleva 491 días en promedio a promedio a la vulnerabilidad de 60 días, en la vulneridad de 60 días, en la vulneridad de 60 Sectores. «Para hacernos más seguros, necesitamos hacer que todos sean más seguros. Este es el camino», dijo Carney. Winchell agregó: «Estamos viviendo en un mundo en este momento que tiene un antiguo andamio digital que está sosteniendo todo. Muchas de las bases de código, muchos de los idiomas, muchas de las formas en que hacemos negocios y todo lo que hemos construido además está en una enorme deuda técnica a lo largo de los años». El dinero del premio alimenta la futura investigación de seguridad de IA para los mejores equipos, el equipo ganador, Team Atlanta, ha logrado el éxito en varias competiciones de piratería y conferencias académicas. Para AIXCC, utilizaron principalmente métodos tradicionales de descubrimiento de vulnerabilidad (por ejemplo, análisis dinámico, análisis estático, confuso) con los modelos de lenguaje grande (LLM) de OpenAI, como O4-Mini, GPT-4O y O3. Superaron todas menos una categoría y descubrieron las vulnerabilidades del mundo real de los siete equipos. Cuando se le preguntó qué haría su equipo con el dinero, Taesoo Kim, el líder principal del equipo y profesor de Georgia Tech, dijo que acordaron ofrecer una gran parte del dinero del premio al Instituto para ayudar a apoyar futuros desarrollos en la investigación de vulnerabilidad con IA. El ganador de la medalla de plata, Trail of Bits, es una pequeña empresa compuesta por 10 ingenieros con una profunda experiencia en el desarrollo de nuevas herramientas de seguridad de software, incluido su propio sistema de razonamiento cibernético, Buttercup. Uno de sus socios más notables es el Instituto de Seguridad de IA del Reino Unido. Para AIXCC, Bits Bits combinó Buttercup y Métodos de descubrimiento de vulnerabilidad tradicionales con LLM como Claude Sonnet 4, GPT-4.1 y GPT-4.1 de Anthrope. Sus logros incluyen el mayor número de categorías de vulnerabilidad únicas, también conocidas como debilidades comunes y categorías de enumeración (CWE). El tercer ganador, Theori, tiene una larga historia de concursos de seguridad ganadores, incluidas ocho victorias en Defcon Capture las finales de la bandera.