上（shàng）周于（yú）旧金山举行的 RSA 安全大会上，不少主张安全至上的供应商将各类充满营（yíng）销色彩的“威（wēi）胁情报”与“漏洞管理（lǐ）”系统（tǒng）一股（gǔ）脑地堆在用户面前。而事实证明，目前已存在的正规、免（miǎn）费漏（lòu）洞（dòng）信息源足以（yǐ）提醒系统管理员，哪些错（cuò）误问题真正需要（yào）修复，且该来源（yuán）每（měi）周七（qī）天（tiān）、每（měi）天二十四小（xiǎo）时不间断更新——这就是Twitter。一组研究（jiū）人员以实验方（fāng）式对 Twitter 中的 bug 数据流价值进（jìn）行了评测，同时（shí）构建起一款用于追踪相关信息（xī）的免费（fèi）软件，用以消除（chú）可解（jiě）决的各类软件（jiàn）缺陷（xiàn）并评估其严重程度。

俄（é）亥俄州立大学、安（ān）全厂商（shāng） FireEye 以及（jí）研究企业 Leidos 的研究人员们于最近发表了（le）一篇论文，其（qí）中描述了一种新型系（xì）统，能（néng）够读取数百万条推文中所提及的软件安全漏洞，而（ér）后利（lì）用（yòng）机器（qì）学习训（xùn）练算法，对描述方式（shì）与具体（tǐ）内容所代表的威胁状态进行评估。他们发现，Twitter 信息不仅可用于预测接下来几天出现在国家（jiā）漏（lòu）洞（dòng）数据库中（zhōng）的大多数安全漏洞（即由国家标准与（yǔ）技术研究所追踪的各项安全（quán）漏（lòu）洞的官方登（dēng）记平台），同（tóng）时也能够利用自然语言处理（lǐ）技（jì）术，大致（zhì）预测（cè）出哪些漏洞将被赋予“危险”或者（zhě）“高（gāo）危”严重等级，准确率超过 80%。

俄亥俄（é）州立大学教授 Alan Ritter 指（zhǐ）出，“我们认为安全漏（lòu）洞类似于（yú） Twitter 上（shàng）的（de）一（yī）种热门主题，它们都（dōu）有着（zhe）能够追踪的（de）显著趋（qū）势性。”相关研究成果将（jiāng）于今年 6 月在计算语（yǔ）言学协（xié）会的北美分会上（shàng）正式发表。

举例来说，他们目前正在网上（shàng）进行的原型测试显（xiǎn）示（shì），上周 Twitter 曾出现大量与 MacOS 系统中（zhōng）最新漏洞（被（bèi）称为“BuggyCow”）相关的推文，同时也提到一种可能允许（xǔ）页面访问的（de） SPOILER 攻（gōng）击方法（fǎ）（利用英（yīng）特（tè）尔芯（xīn）片中存在（zài）的某深（shēn）层漏洞）。研（yán）究人员们开发（fā）的 Twitter 扫（sǎo）描（miáo）程序将二者标记为“可（kě）能（néng）高危”，截（jié）至目（mù）前，这两项漏洞都还没（méi）有（yǒu）被收录至国家（jiā）漏（lòu）洞数据库当中。

当（dāng）然，他（tā）们（men）坦言目前的原型设计方（fāng）案并不（bú）完美（měi）。当下这款程序每天（tiān）只能更（gèng）新一次，其中包括不少重复性内容，而且（qiě）通过比较我们发现其结（jié）果中错过了一（yī）些后来被国家漏洞（dòng）数据库收录的条目（mù）。但 Ritter 认（rèn）为，此项研究（jiū）的真正（zhèng）进步在（zài）于，以（yǐ）人（rén）类语言（yán）为基础对漏洞进（jìn）行自（zì）动分（fèn）析，同时准确地根据其严重程度做出排序。这意味着，其有（yǒu）朝一（yī）日（rì）也（yě）许会（huì）成为系统管理员（yuán）在保（bǎo）护自身系统免受侵扰时，可（kě）资利用的一款强大信息聚合器，或者（zhě）至少是商业漏（lòu）洞（dòng）数据（jù）源中的一种必要组成（chéng）部分，甚至有望成为一种前所（suǒ）未有（yǒu）的、根（gēn）据重要性（xìng）进行加权（quán）排序的免费（fèi）漏洞信息源。而（ér）这一切，都将成为系统管理员群（qún）体的巨大福音。

他解释称，“我们希望构建起一款（kuǎn）能够读取（qǔ）网（wǎng）络信（xìn）息并提取（qǔ）新软（ruǎn）件漏洞早期报告的计算机程序（xù），同（tóng）时（shí）分析用户对其潜在严重性（xìng）的整体（tǐ）观（guān）看。结合实际来（lái）看，开发人员往往面对（duì）着这样（yàng）一个现实难题（tí）——面对（duì）复（fù）杂的分析（xī）结果，哪个才代表着真正可能令（lìng）人们遭受重大损失的高危漏洞（dòng）？”

事实（shí）上，其背后的思维方式并非新鲜（xiān）事物。多年以（yǐ）来，人们一直在考（kǎo）虑如（rú）何通过网络上的文本（běn）信息总结（jié）出软（ruǎn）件漏洞数据（jù），甚至早已（yǐ）具体到 Twitter 之上（shàng）。然而，利用自然语（yǔ）言处理技术对推文中漏洞的严重程（chéng）度进行排（pái）序，则代表着一大“重要转折（shé）”，同（tóng）样关注这一问题的摩郡马里（lǐ）兰大学教（jiāo）授 Anupam Joshi 对此（cǐ）深表（biǎo）赞同。他（tā）指出（chū），“人们越来越关（guān）注网（wǎng）络之上关（guān）于安全漏洞的讨论（lùn）内容。人们已经意识到，我们完全（quán）可以从 Twitter 等（děng）社交平台上获取早期警告信号，此外也（yě）包括 Reddit 帖子、暗网以及博客评论等。”

在实（shí）验（yàn）当（dāng）中，俄亥俄州立（lì）大学、FireEye 以及 Leidos 的研（yán）究人员们最（zuì）初使用（yòng）到与安全漏洞（dòng）相关的 6000 条（tiáo）推文评论这一子集。他（tā）们向 Amazon Mechanical Turk 的工作人员（yuán）展示（shì）了相关结果，即以人为方（fāng）式按严重程度对其进行排序，而后（hòu）过滤掉那些与大多（duō）数其他读者完全对立的异常结果。

接下来，研究人员利用这些（xiē）经过标记的推文作为机器学（xué）习引（yǐn）擎的训练数据，并进一步测（cè）试其预测结果。着眼于接下来五（wǔ）天之（zhī）内可能（néng）被纳入（rù）国家漏（lòu）洞数据库的各（gè）项安全漏洞，该程序得以利用此数据（jù）库中的原有严重性排名，来预测此时段内（nèi）的 100 项最严重漏（lòu）洞（dòng），且（qiě）准确率达到 78%。对于（yú）前 50 位，其对漏洞（dòng）严重程度的预测则更为准确，正确率（lǜ）达到（dào） 86%。更重（chóng）要的（de）是，对于（yú）接下（xià）来五天内（nèi）被国家漏洞数（shù）据库评为（wéi）严重程度最高的 10 个安全漏洞，该程序的预（yù）测（cè）准（zhǔn）确率高（gāo）达 100%。

俄亥（hài）俄州立大学的 Ritter 警告称（chēng），尽管目前的测试结果非常喜（xǐ）人，但他们打造的这（zhè）款自动化工具不应（yīng）被任（rèn）何个人或组织作为唯一漏洞数据源使用——至少（shǎo），人们应该点击（jī）底层（céng）推文及其链接信（xìn）息以确认分（fèn）析结果。他指出（chū），“其仍然（rán）需要人类介入（rù）进来。”在他（tā）看来，最好是能将这款程序（xù）纳入由人类负责规（guī）划的广泛漏洞数据源当中，并仅作为来源（yuán）之一（yī）。

但鉴于漏洞发现速度的（de）加快（kuài），以（yǐ）及社交媒体上（shàng）与漏洞相（xiàng）关的信息（xī）不断增（zēng）加（jiā），Ritter 认为这（zhè）款（kuǎn）程序（xù）有望成为（wéi）从（cóng）噪声（shēng）中找寻有价值信号的（de）一款重要工（gōng）具。他总结道，“如今的安全（quán）行业面临着信息过（guò）多的问（wèn）题。这款程序的核心在于建立算法，帮助大家对全（quán）部内（nèi）容（róng）进行排（pái）序（xù），从（cóng）而找出真正重要的信息。”