GeekPwn2018：從黑客的視角預(yù)見AI安全威脅

?用AI技術(shù)騙過AI“指鹿為馬”? 攻破虛擬機開啟“上帝視角”?用一張紙秒破手機屏下指紋鎖?那些原本只可能存在于科幻大片中的未來場景在GeekPwn的舞臺上一一變成了現(xiàn)實。10月24日-25日，2018國際安全極客大賽(GeekPwn 2018)在上海如期而至，來自世界各地的安全研究員、白帽黑客、安全大牛們，組成黑客界“最強大腦”團隊，攻破重重關(guān)卡與迷陣，上演了一場現(xiàn)實版“黑客帝國”。

GeekPwn 2018以“人‘攻’智能，洞見未來”為主題，旨在通過集結(jié)最強黑客戰(zhàn)隊，預(yù)演智能設(shè)備及人工智能領(lǐng)域潛在的安全問題，探索智能生活的安全之道，助力人們可以更安全地享受智能生活。同時，為了更加全方位洞見未來安全風險，本屆大賽分為設(shè)置不同挑戰(zhàn)場景的命題專項賽，不設(shè)限制的非命題開放賽和PWN4FUN趣味挑戰(zhàn)賽。在24日的比賽現(xiàn)場，GeekPwn通過扣人心弦的沉浸式劇情串聯(lián)起各項賽事，觀眾得以無縫融入劇情。創(chuàng)新有趣的賽制，腦洞大開的破解，讓本次大賽的主持人——來自《最強大腦》的蔣昌建都不禁驚嘆連連。

　　KEEN公司CEO、GeekPwn大賽發(fā)起和創(chuàng)辦人王琦

KEEN公司CEO、GeekPwn大賽發(fā)起和創(chuàng)辦人王琦表示：這已經(jīng)極棒的第五個年頭，希望通過極棒能夠讓大家看得懂那些前沿科學。自創(chuàng)辦以來，極棒帶來了許多腦洞大開的破解展示，向廠商提交了數(shù)百個嚴重安全威脅漏洞，在GeekPwn的努力下，在還沒有在現(xiàn)實生活中爆發(fā)危害就已經(jīng)被提前消滅。漏洞從來不是因為黑客才存在，恰恰是被黑客發(fā)現(xiàn)后消滅的。極棒要讓更多人關(guān)注到智能生活中安全問題的重要性，人“攻”智能不是目的，我們這些年的努力，是為了讓更多的人可以享受智能生活，讓黑客帶給我們更安全的光明和未來。

騰訊高級副總裁丁珂在開場致辭中表示：我們希望在未來發(fā)展當中，以前瞻和敏銳的黑客思維去探索，發(fā)現(xiàn)世界的新規(guī)律，而GeekPwn這個舞臺就是一個展現(xiàn)的平臺。騰訊安全與GeekPwn已有五年的深度合作，我們始終致力于推動安全社區(qū)的建立。一方面，騰訊安全保持對安全社區(qū)的持續(xù)關(guān)注和投入，通過組織極客賽事、發(fā)布前沿技術(shù)、參與比賽等形式打造國際前沿的技術(shù)交流平臺;另一方面，騰訊安全團隊將自身安全能力開放給各行各業(yè)，為建設(shè)數(shù)字安全新生態(tài)提供助力。

黑客對決AI 上演“黑客帝國”絕地反擊

當AI將你識別為“終結(jié)者”，可不是為了討好獻媚。GeekPwn2018的選手現(xiàn)場用自己生成的對抗樣本成功騙過圖像分類器，將宇宙飛船飛行器識別為巨石，將導(dǎo)彈物體誤認為安全的，甚至將現(xiàn)場的特邀嘉賓、“最強大腦”節(jié)目主持人蔣昌建老師的照片識別為阿諾德·施瓦辛格。

作為全球首個探索人工智能與專業(yè)安全的前沿平臺，極棒在探索AI安全的道路上從未止步。本屆大賽更是首創(chuàng)CAAD 可視化對抗現(xiàn)場展示、AI“生成式對抗網(wǎng)絡(luò)”(GAN)技術(shù)趣味挑戰(zhàn)賽、利用AI對脫敏大數(shù)據(jù)進行追蹤還原等賽事，為AI安全帶來全新啟示。

為了推動GAN技術(shù)的普及，由GeekPwn 聯(lián)合谷歌大腦人工智能研究科學家 Ian Goodfellow、Alexey Kurakin 以及美國加州大學伯克利分校計算機系教授宋曉冬共同發(fā)起的 CAAD 對抗樣本攻防賽。在CAAD線上比賽的100多支戰(zhàn)隊中成績優(yōu)異的6支戰(zhàn)隊在現(xiàn)場展開CAAD CTF線下對戰(zhàn)的激烈角逐。他們分別是來自于自清華大學、中國科學技術(shù)大學、美國約翰·霍普金斯大學、Facebook、騰訊、阿里巴巴等知名高校與企業(yè)。

　　CAAD對抗樣本攻防賽參賽隊伍

不僅如此，選手們更可以通過AI的“腦補”，還原照片中的馬賽克，這便是PWN4FUN趣味挑戰(zhàn)項目“GAN 掉馬賽克”。自8月1日起，GeekPwn官方通過微信小程序“極棒黑客趣味挑戰(zhàn)”，先后發(fā)布了10張經(jīng)馬賽克處理的圖片，供各路極客前來挑戰(zhàn)。來自中國海洋大學的選手杜昂昂一路過關(guān)斬將來到GeekPwn2018的舞臺。他在現(xiàn)場利用AI技術(shù)成功將一張經(jīng)過馬賽克處理的漢堡照片自然還原，帶觀眾一起解鎖了新視界。

此次GeekPwn設(shè)置的“CAAD對抗性樣本攻防挑戰(zhàn)賽”和“GAN 掉馬賽克”趣味挑戰(zhàn)賽，在預(yù)演人工智能領(lǐng)域可能存在風險的同時，讓更多人了解到如何以黑客思維去解決未來人工智能與專業(yè)安全的跨界問題，最終幫助人工智能健康安全成長。

攻防千千萬萬次 消滅危機于萌芽

時至今日，隨著手機的越來越智能化，手機承載了太多的功能與信息，同時也成了每個現(xiàn)代人手中最不可侵犯之物。正所謂越禁忌、越吸引，手機幾乎成了各路黑客們的兵家必攻之器。

你以為加密的手機相冊，別人就看不到嗎?在GeekPwn2018的現(xiàn)場，來自AMC團隊楊志偉、胡強，在觀眾和主持人蔣昌建老師的配合下，成功完成手機私密相冊的破解挑戰(zhàn)。據(jù)悉，他們是利用手機操作系統(tǒng)的漏洞，通過在手機中安裝一個惡意APP，可以用高權(quán)限調(diào)用其他組件，從而繞過私密相冊的身份驗證。對此選手還解釋到，即便相冊密碼再長、再復(fù)雜，都抵不過操作系統(tǒng)存在的漏洞。

你能想象一張紙就能打開安卓手機的屏下指紋鎖?騰訊安全玄武實驗室在現(xiàn)場首度演示了影響觸屏解鎖型安卓設(shè)備的“殘跡重用”漏洞——安全研究員通過一張普通的卡片，可以讓任何人對手機的屏下指紋進行解鎖。目前的屏下指紋解鎖功能是利用光學技術(shù)捕捉用戶的指紋影像，通過反射體欺騙的方法，可以利用屏幕上殘存的指紋痕跡，讓屏下指紋傳感器認為手機的主人正在使用指紋驗證。

　　手機屏下指紋鎖項目破解演示

據(jù)悉，該漏洞屬于屏下指紋技術(shù)設(shè)計層面的問題，會幾乎無差別地影響所有使用屏下指紋技術(shù)的設(shè)備。騰訊安全玄武實驗室負責人于旸(TK教主)同時也表示，用戶無需太過擔心，騰訊安全玄武實驗室早在今年初就開始和國內(nèi)幾家主流手機廠商合作，不僅通過更新算法修復(fù)了已上市手機中的漏洞，還將相關(guān)解決方案提交給相關(guān)芯片廠商，推動了供應(yīng)鏈層面的安全修復(fù)。

此外，更有世界頂級水平的挑戰(zhàn)在GeekPwn2018的舞臺上演。長亭科技團隊利用VMware虛擬機系統(tǒng)漏洞，僅用9分鐘便成功獲取ESXi宿主機系統(tǒng)的最高權(quán)限并進行任意控制，這無疑給私有云的運行安全和數(shù)據(jù)安全敲響了警鐘，提醒各云計算企業(yè)在防御此類攻擊時能具備先機。

另辟蹊徑的攻擊方式在GeekPwn2018的舞臺上同樣被選手挖掘。阿里安全IoT研究團隊僅利用漏洞在無人機智能電池中植入惡意代碼，便在一分鐘內(nèi)觸發(fā)電池突然斷電，讓無人機墜機;來自T3JRC團隊成員向“DNS劫持”項目發(fā)起挑戰(zhàn)，基于又一互聯(lián)網(wǎng)基礎(chǔ)協(xié)議層的全新漏洞，利用DNS緩存污染實現(xiàn)網(wǎng)站劫持。這是團隊繼2015年發(fā)現(xiàn)HTTPS協(xié)議的安全問題后，又一重大安全發(fā)現(xiàn);來自湖南長沙的伏宸安全實驗室團隊在沒有破壞存儲和主控芯片的情況下，移除原有的指紋識別模塊，通過自制的偽造指紋模塊設(shè)備，利用數(shù)學模型，計算出關(guān)鍵數(shù)據(jù)，成功實現(xiàn)對指紋加密U盤的破解。

是專業(yè)的競技場，更是奇思妙想的舞臺

誠如KEEN公司CEO、GeekPwn大賽發(fā)起創(chuàng)辦人王琦曾說過的那樣：“GeekPwn不止于破解,比起破解本身,我們更加注重腦洞大開的創(chuàng)意”，GeekPwn的舞臺從未缺少過奇思妙想。

來自全球的八支戰(zhàn)隊，帶著他們的“鋼鐵戰(zhàn)士”來到GeekPwn 2018 “機器特工挑戰(zhàn)賽”的比賽現(xiàn)場，為我們演示了一場機器人版“碟中諜”。來自內(nèi)華達大學的OP-USA團隊的選手通過遠程操縱兩臺機器人，潛入目標區(qū)域，關(guān)閉激光控制電源，通過輸入密碼打開密碼箱，在電腦上插入U盤，并在成功在鍵盤插口安裝竊聽器。

　　機器特工嘗試在電腦上插入U盤

如果說各項破解是為了預(yù)演潛在的危險，那么腦洞大開的“機器特工賽”則是為了尋求一種打破固有思維的方式來看安全。王琦表示，“這要求黑客們的技術(shù)需要在現(xiàn)實和虛擬的世界中切換，這拓寬了大家對于網(wǎng)絡(luò)安全的思考維度。”

本屆GeekPwn開創(chuàng)了很多天馬行空的新玩法。除了騰訊安全、百度安全、京東安全、小米安全帶來的燒腦游戲派對外，極棒還聯(lián)合摩拜、唯品會、盤古、看雪論壇、電子工業(yè)出版社共同發(fā)起的“黑客公益集市”，有趣、有愛兩不誤。

人“攻”智能，不是GeekPwn的目的，而是預(yù)演潛在風險、拓寬安全思維、協(xié)助人工智能健康成長的手段。GeekPwn所代表的安全極客們正在通過不倦的努力，為人們提供更安全的智能生活。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。