今天,在 2016 微软技术大会上(Ignite conference),微软推出了一款基于云的漏洞检测工具 Project Springfield ,该工具结合了模糊测试,帮助开发人员发现在其应用程序的 Bug。通过抛出半随机输入的自动化测试代码,结合 AI 工具来检测软件的安全隐患。人工智能工具可以对潜在的安全问题做出更准确的假设和预测。
研究人员表示,这个工具价值百万美元,因为开发人员总是在新产品发布之后,花费巨大的人力和资金成本来被动地跟进补丁,而 Project Springfield 可以在产品发布前主动探测出潜在漏洞。
Microsoft 研究员David Molnar 表示,就像在车祸事故中,只看事故现场可能无法确定事故原因。常规测试可以告诉你该代码什么时候崩溃,而 AI 工具可以分析软件在实际中是如何工作的。研究小组反复指出,这个工具之所以有能力找出数百万个 Bug,在于其对操作系统潜在安全问题的监测能力和修复能力。相比一般的测试方法,Project Springfield 更专注和智能,它将多个不同的模糊测试技术和 AI 技术结合起来,每次软件运行时,观察其重要部分,收集数据,找出一般的模糊测试工具可能忽视的更深层的漏洞。一旦确定了一个 Bug,它会帮助开发商人员重现该问题。
在微软内部,一个类似的工具已经使用了 10 年左右了,用来检测 Windows 系统的潜在 Bug。值得注意的一点是,该工具使用二进制算法,无需借助源代码,这意味着公司可以用它来评估从外部来源购买或收购公司代码。开发者把二进制文件上传到的服务器,实际测试都时基于云计算来推进的。
尽管微软的最终目标是大众化推广这项技术,将其插入每家公司开发渠道,不过现在还没有将 Project Springfield 推广给开发商的明确日程,用户可以在线注册进行预览。