上周（zhōu）于旧（jiù）金（jīn）山举行的 RSA 安全大会上，不少主张安全至上的供应商（shāng）将各（gè）类充（chōng）满营销色彩的“威胁情报”与“漏洞管理”系统（tǒng）一股（gǔ）脑地堆在用户面前。而事实（shí）证明，目（mù）前已存（cún）在（zài）的正规、免费漏洞（dòng）信息源足以提（tí）醒系统（tǒng）管理员（yuán），哪些错误（wù）问题真正需要（yào）修复，且该来源每周（zhōu）七天、每天二十四（sì）小时不间断更新——这就是Twitter。一组研究人（rén）员以实验方式对 Twitter 中的 bug 数（shù）据（jù）流价值（zhí）进行了评（píng）测，同时（shí）构建起一款（kuǎn）用于追踪（zōng）相关（guān）信息的免费软件，用以消除可解决的各类软件缺陷并评估其严重程度。

俄（é）亥俄州（zhōu）立（lì）大学、安全厂（chǎng）商 FireEye 以及研（yán）究企业 Leidos 的研究人员们于最近发表了一（yī）篇论文，其中（zhōng）描述了一种新型系统，能（néng）够读取数百万条（tiáo）推文中所提及的（de）软（ruǎn）件安（ān）全漏（lòu）洞，而后（hòu）利用机（jī）器学习训（xùn）练算法，对描述方式与（yǔ）具（jù）体（tǐ）内容（róng）所代表的威胁（xié）状态进行评估。他们发现，Twitter 信息不仅可用于预测（cè）接下来几天出现在国家（jiā）漏洞（dòng）数据库中的大（dà）多（duō）数安（ān）全漏洞（即由国（guó）家（jiā）标（biāo）准与技术研究所追踪的各（gè）项安（ān）全漏（lòu）洞的官方登（dēng）记平台），同时（shí）也能够利用（yòng）自然语言处理技术，大致预测出哪些漏洞将被赋（fù）予“危（wēi）险”或者（zhě）“高危（wēi）”严重等级，准确率超过 80%。

俄亥俄州立大（dà）学教授 Alan Ritter 指出，“我们认为（wéi）安全漏洞类似于 Twitter 上的一种热门主题，它们都有着能够（gòu）追（zhuī）踪的显（xiǎn）著趋势性。”相关研究（jiū）成果将于今年 6 月在计算语言学协（xié）会的北（běi）美（měi）分会上正式发表。

举例来说，他们目前正在网上（shàng）进行的原型测试显（xiǎn）示，上周 Twitter 曾出现（xiàn）大量与 MacOS 系（xì）统中最新漏洞（被称为“BuggyCow”）相关的推（tuī）文，同时也提到一种可能允（yǔn）许（xǔ）页面访问的 SPOILER 攻击方法（利用英特尔芯（xīn）片中存在的某深层漏洞）。研（yán）究（jiū）人员们开（kāi）发的 Twitter 扫（sǎo）描程序将二（èr）者标记（jì）为“可（kě）能（néng）高危”，截至目前，这两项漏（lòu）洞都还没有被（bèi）收录至国（guó）家漏洞（dòng）数据库（kù）当中。

当然，他们坦言目前的原型设计方案并（bìng）不完美。当下这款（kuǎn）程（chéng）序每天只能更新一次，其（qí）中包括不（bú）少（shǎo）重复性内（nèi）容，而且通过比较我们发现其结果中错过了一些（xiē）后来被国家漏洞数据库收（shōu）录的条目。但 Ritter 认为，此项（xiàng）研究的（de）真正进步在于，以人类语言为基础对（duì）漏洞进行（háng）自动分析，同时准（zhǔn）确地根据（jù）其严重程度做出排序。这（zhè）意（yì）味着，其有朝一日也许会成为系（xì）统（tǒng）管理员在保护自身系统免受（shòu）侵扰时，可资利用的一款强大信息聚合器，或者至（zhì）少是（shì）商业（yè）漏洞数据源（yuán）中的（de）一种必要组成部（bù）分（fèn），甚至（zhì）有望成为一种前所未有（yǒu）的、根据重要性进行加权排序的免（miǎn）费漏洞信息（xī）源。而这一切，都将成为系统管（guǎn）理员群体的巨大（dà）福音。

他解释（shì）称，“我们（men）希望构（gòu）建起一（yī）款能够读取网络（luò）信（xìn）息并提取新（xīn）软件漏洞早（zǎo）期（qī）报告的计算机程序，同时分析用（yòng）户对其潜在严重性的整（zhěng）体观看。结合实际来（lái）看（kàn），开（kāi）发（fā）人员往往面（miàn）对着这（zhè）样（yàng）一个现实难题——面对复杂（zá）的分析结果，哪个才（cái）代表着真正（zhèng）可能（néng）令人（rén）们遭受（shòu）重（chóng）大损失的高危漏洞？”

事（shì）实上，其背后的思维（wéi）方式并非新（xīn）鲜事物。多年以来（lái），人们一直在考虑如何（hé）通过网络上的文（wén）本信息总结出软件（jiàn）漏洞数据（jù），甚至早（zǎo）已具体到 Twitter 之上（shàng）。然而，利用自然语言处（chù）理技术对推文中漏洞（dòng）的严重程（chéng）度进行排序，则代表着一大“重要转折”，同样关注这一（yī）问题的摩郡马里（lǐ）兰大学教（jiāo）授 Anupam Joshi 对（duì）此深表（biǎo）赞同（tóng）。他指出（chū），“人（rén）们越来越（yuè）关（guān）注网络之（zhī）上关（guān）于安全漏洞的讨论内容。人（rén）们已（yǐ）经意识（shí）到，我们完全可（kě）以从（cóng） Twitter 等社交平台（tái）上获取早期（qī）警告信（xìn）号，此外也（yě）包括 Reddit 帖子、暗网以及博客评论等。”

在实（shí）验当（dāng）中，俄亥（hài）俄州（zhōu）立大学、FireEye 以及 Leidos 的研究人员们最初使用到与安全漏洞相关的 6000 条推文（wén）评论这（zhè）一子集。他们向 Amazon Mechanical Turk 的工作人员展示了相关结（jié）果，即（jí）以人为方式按严重程度对其进（jìn）行排序，而（ér）后过滤掉那些与大多（duō）数其他读者完全对立的异常结果。

接下来，研究人员（yuán）利用这些经过标记的推文作为机器学习引擎（qíng）的（de）训练（liàn）数据，并（bìng）进一步测（cè）试其预测结（jié）果。着眼于（yú）接下来五天（tiān）之内可（kě）能被纳入国家（jiā）漏洞数据（jù）库（kù）的各项安全漏洞（dòng），该（gāi）程序得以利用此数据库（kù）中（zhōng）的原（yuán）有严重性排名（míng），来预测此时段内的 100 项最（zuì）严（yán）重漏洞，且准确率达到 78%。对于前（qián） 50 位，其对漏（lòu）洞严重程度的预测则更为准确，正（zhèng）确（què）率达到 86%。更（gèng）重要（yào）的（de）是，对于接（jiē）下来五天内被国家（jiā）漏洞数（shù）据库（kù）评为严重程度最高的 10 个安（ān）全漏洞，该程序的预测准确率高达 100%。

俄亥俄州（zhōu）立大学的 Ritter 警告称，尽管目前（qián）的测试结果非常喜人，但他们打（dǎ）造的这（zhè）款自动化（huà）工具不应被任何个人或组织作为唯一漏洞数据源（yuán）使用——至少，人们应该点击底层推文及其链接（jiē）信息以确认（rèn）分析结果（guǒ）。他指出，“其（qí）仍然需要人类介入进来。”在他看来，最好是能将这款程序纳（nà）入由人类负责规（guī）划的广泛漏洞数据源当中，并仅作为来源（yuán）之（zhī）一。

但鉴于漏洞（dòng）发（fā）现速度的加（jiā）快，以及社交媒（méi）体上与漏洞相（xiàng）关（guān）的信息不断增加，Ritter 认为这款（kuǎn）程（chéng）序有望成（chéng）为从（cóng）噪声中找（zhǎo）寻有价值信号的一（yī）款重要工具。他总结道，“如今的安全行业面临着信息过多的问题。这款程序的核心在于建立算法，帮助大家（jiā）对全（quán）部内容进行排序，从而找出真正重要（yào）的信息。”