此篇文章以2025年在台北舉行的駭客年會HITCON為背景,深入報導當年度最令人矚目的議題—人工智慧如何協助自動發現並修補軟體漏洞,揭開AI與資安技術融合的新篇章。文章以美國AI Cyber Challenge(AIxCC)冠軍隊伍「Team Atlanta」為主角,透過他們在競賽中的經驗,展現AI在資安領域的實際應用與未來潛能。首先,文章說明AIxCC是由美國國防高等研究計畫署(DARPA)主辦的國際競賽,目標在於推動AI在漏洞分析與防護上的創新應用。比賽要求參賽隊伍打造可自動運作的網路推理系統(Cyber Reasoning System, CRS),能獨立完成漏洞偵測、修補以及分析報告的產出。儘管初期外界普遍質疑AI是否真的能勝任如此複雜的任務,Team Atlanta最終憑藉卓越的技術整合與團隊合作,成功在70項挑戰題中偵測出43個合成漏洞、修補31個,並額外找到6個零時差漏洞,成為唯一能於比賽中突破現實漏洞防線的隊伍。
文章特別指出,「Team Atlanta」之所以能在競爭激烈的國際賽事中脫穎而出,關鍵在於團隊結構與系統設計的縝密規劃。該團隊成員逾40人,橫跨喬治亞理工學院、三星研究院、韓國科學技術院(KAIST)與浦項工科大學等機構,體現跨領域協作的力量。為確保開發流程高效,團隊在決賽前將任務劃分成六個子組,最終共同完成名為「Atlantis」的CRS系統。文章詳述,Atlantis採用「N重版本」(N-versioning)與正交式架構設計,確保各模組獨立運作、互不干擾,使系統具備高度容錯性與穩定度。
在技術層面上,文章強調Atlantis結合了傳統資安工具與新興AI技術的優勢。系統分別針對C語言、Java語言及多語言環境設計專屬分析模組,並延伸出三大測試技術:整合式模糊測試(ensemble fuzzing)、符號混合執行(concolic execution)與定向模糊測試(directed fuzzing)。其中,LLM(大型語言模型)被廣泛應用於生成測試輸入、預測程式錯誤類型及支援程式語意分析,進一步提升漏洞探索的深度與效率。除了偵測,Atlantis在修補層面亦展現高度創新。此篇文章提到,團隊為修補系統架構出「Atlantis-Patch」模組,內含六個具獨立策略的AI代理,各自使用不同的LLM推理路徑與模型組合,有的專注於工具呼叫,有的強化推理迴圈深度。團隊甚至以Llama 3.2作為基礎,進行客製化微調,以提升上下文檢索效率與生成修補程式的品質。這樣的設計不僅提升修補成功率,也為AI在自主程式修復領域立下標竿。
文章也揭示了Team Atlanta在競賽歷程中所面臨的困境。主要挑戰包括LLM在早期(2023年)處理長上下文與程式結構時能力有限,導致團隊必須以「思維鏈」(Chain of Thought, CoT) 等技巧彌補推理不足。儘管如此,隨著AI技術在2024年快速迭代,如LangChain與AutoGen框架問世,使團隊逐漸看到LLM在系統性推理與自動化任務中的真實潛能。雖然這些新技術出現得稍晚,未能完全融入競賽方案,但也為未來AI驅動資安研究奠定方向。最終,文章以更宏觀的角度收尾,指出Team Atlanta的成功並非僅代表單一團隊勝出,而象徵著AI在資安防禦上的思維轉變。從被動偵測到主動修補,從人工輔助到自動化推理,AI正逐步重塑資安生態。此篇文章以細膩筆觸刻畫了Team Atlanta如何將技術理想化為可實踐的現實,並在HITCON分享經驗,激勵更多台灣研究者與學生投入AI資安新領域。這不只是一次賽場勝利,而是一場宣告資安邁入AI自主時代的歷史時刻。
