人工智能如何重塑汽车软件的模糊测试

在2025年7月播出的《赋能明日汽车软件》播客节目中，主持人——ETAS美洲区企业与工业控制系统安全服务经理赞恩·佩莱蒂埃，与嘉宾——博世人工智能中心研究科学家伊琳娜·尼古拉耶娃，共同探讨了人工智能在汽车模块嵌入式模糊测试中的应用。

该播客强调，人工智能引导的模糊测试是提升汽车网络安全测试效率与效果的有效途径。本文已提炼讨论中的部分核心议题——您可在此处或任何播客平台（如Spotify、Apple Podcasts、Amazon Music、iHeart Radio等）收听完整节目。

什么是嵌入式模糊测试？

模糊测试是一种网络安全技术，通过向设备接口发送精心设计的伪随机输入来识别软件或硬件缺陷。其目标是监测异常事件，包括无响应、看门狗定时器触发或其他可能预示安全问题或关键安全缺陷的状况。

与传统IT软件的模糊测试不同，对车载嵌入式设备的测试面临独特挑战。这些设备（如制动或动力总成控制系统）往往关乎行车安全。 此外，许多通信协议属于专有技术且文档不完善，使得查找缺陷如同大海捞针。更棘手的是，每个控制器都存在差异，测试人员每次新测试都需从零开始。模糊测试的伪随机特性效率低下，需要投入大量时间和硬件资源。

ETAS提供的CycurFUZZ解决方案，可在整个开发和验证过程中提升汽车系统的鲁棒性与网络弹性。该工具能发现比其他现有工具多出66%至600%的安全相关漏洞及未被检测到的软件缺陷。

人工智能在改进模糊测试中的作用

采用人工智能的构想源于这样的发现：不同模块甚至不同供应商的产品中反复出现类似的缺陷。为克服传统模糊测试的低效性，赞恩·佩莱蒂埃及其团队与博世人工智能中心合作，决定尝试训练机器学习模型，使其能够识别历史问题并理解车辆网络的威胁模型。

该播客详细阐述了该项目，解释团队采用了一种基于变压器的模型，类似于大型语言模型（LLMs）所使用的模型。该模型并非被训练成随机生成新的测试用例，而是基于输入流预测数据序列中的下一个字节，从而能够生成更智能的测试用例，这些用例更有可能发现缺陷。

该项目的成功在很大程度上取决于训练数据的质量。团队发现使用真实网络流量数据至关重要，因为它能让模型更准确地理解“正常”网络流量的特征，这对识别异常情况至关重要。同时，微调阶段的重要性也得到强调——这一步骤使团队能够将模型适配到特定模块和通信协议中，从而进一步提升其有效性。

通过此过程发现的最常见故障是拒绝服务（DoS）攻击，该攻击会导致模块对车辆网络其他部分失去响应。在汽车网络中，这种情况尤为危险，因为模块通常需要在毫秒级响应。其他故障还包括通信堆栈崩溃或绕过模块的安全认证机制。

通过运用人工智能技术，嵌入式模糊测试的传统低效问题正被逐步克服。该项目及合作成果展示了一种成功的数据驱动方法，其突破了伪随机输入的局限，能够智能定位潜在漏洞。这种方法为保障日益复杂且互联的未来车辆安全迈出了重要一步。