Selon aicyberchallenge.com, la finale du DARPA AI Cyber Challenge (AIxCC), menée avec l’ARPA-H et des laboratoires de pointe, a sacré Team Atlanta, démontrant la capacité de systèmes autonomes d’IA à sécuriser des logiciels open source au cœur des infrastructures critiques.

🏆 Résultats et ouverture: Team Atlanta (Georgia Tech, Samsung Research, KAIST, POSTECH) remporte la compétition, devant Trail of Bits (2e) et Theori (3e). Quatre des sept cyber reasoning systems (CRS) développés sont publiés en open source, afin d’accélérer l’adoption par les défenseurs. La DARPA et l’ARPA-H ajoutent 1,4 M$ pour encourager l’intégration de ces technologies dans des logiciels pertinents pour les infrastructures critiques.

🧪 Portée de l’évaluation: Lors du tour noté, les systèmes ont analysé 54 millions de lignes de code réalistes contenant des vulnérabilités synthétiques, avec une possibilité de découvrir des failles réelles. Le scoring a privilégié la rapidité et la qualité des correctifs, ainsi que l’analyse des rapports de bugs. Le vainqueur s’est distingué sur la découverte et la preuve des vulnérabilités, la génération et l’appariement des patchs, et la précision globale des soumissions.

🐛 Vulnérabilités découvertes et patchées: Les équipes ont identifié 54 vulnérabilités synthétiques sur 70 défis et en ont corrigé 43. Elles ont aussi mis au jour 18 vulnérabilités réelles non synthétiques (6 dans des bases de code C, 12 en Java), avec 11 correctifs proposés. Une vulnérabilité C a été découverte et patchée en parallèle par les mainteneurs, avec divulgation responsable en cours.

📈 Efficacité et progression: Le coût moyen par tâche de compétition est d’environ 152 $, bien inférieur à des primes de bug bounty pouvant aller de centaines à des centaines de milliers de dollars. Par rapport aux demi-finales (août 2024), les performances progressent nettement: 77 % des vulnérabilités synthétiques ont été identifiées (vs 37 %) et 61 % des vulnérabilités identifiées ont été patchées (vs 25 %), avec des taux de succès désormais comparables entre bases de code C et Java.

🎯 Conclusion: Il s’agit d’une annonce de résultats de compétition et de mise à disposition d’outils, démontrant l’apport de CRS dopés à l’IA pour la génération de rapports de bugs et de correctifs de qualité, à vitesse et à coût réduits, au service de la sécurisation de l’open source d’infrastructure critique.

🔗 Source originale : https://aicyberchallenge.com/Finals-winners-announcement/