关注云报

洞察深一度

2019年，《最强大脑》第六季收官，19岁的天才少年郑林楷力克全球对手，捧得了“脑王”奖杯。目前已经是清华大学网络研究院研二学生的他，参加了GeekPwn 2022安全极客大赛。在比赛现场，郑林楷与算法竞赛银牌得主杨雅儒组队，通过《谁动了我的短信》项目，尝试利用手机原生APP未知缺陷伪造手机号发送短信，让观众更加切实地了解到电信诈骗的危害。

在项目研究过程中，因为涉及到与5G相关的很多东西，所以郑林楷与杨雅儒也遇到了一些麻烦，对他们本身硬核技术的掌握是一次考验。郑林楷特别提到一点，当他们在确定某一款设备是有问题时，需要检测大量设备，如何接触到这些最新最贵的5G设备就是一个问题。

选手郑林楷（右）和杨雅儒

“我把GeekPwn看作是一个展示自己的舞台。”郑林楷如是说，“我们希望将对一些安全漏洞的研究成果展示出来。这个展示的过程其实就是一种收获。”杨雅儒亦有同感：“我们花了很多时间研究这个项目，希望成果能够得到厂商和人们的重视，将这个漏洞快速修复好。这就是我们最大的成功了。”

安全极客的盛宴

11月1日，以“让智能更安全，让安全更智能”为主题的GeekPwn 2022安全极客大赛圆满落下帷幕。来自光年虚拟化小分队的《“越狱”——逃出虚拟机》项目，通过利用相关缺陷实现虚拟机逃逸，成功完成网安领域公认的高技术难度挑战，以6.04分摘得G-TOP年度极客榜桂冠。本届大赛汇聚了全国16个顶尖安全极客团队，选手们聚焦AI、车联网、机器人、在线办公等领域，挖掘生活中极易被忽略的安全隐患，为大众的智能生活敲响了安全警钟，同时也让行业、厂商保持警惕，助力产业健康稳固发展。

GeekPwn 2022参赛选手

自2014年创办以来，作为与Pwn2Own、Defcon并称的全球三大信息安全赛事，GeekPwn已在北京、上海、澳门、香港和美国硅谷、拉斯维加斯等多地举办。聚焦前沿AI安全、智能生活安全、产业安全的GeekPwn大赛，始终走在安全行业最前端。每次大赛主题虽然不同，但都通过预演安全威胁，负责任地披露数百个高危漏洞，以技术创新助力网络安全生态建设，并通过不断探索极客精神，守护人们的智能安全生活。在这个过程中，GeekPwn的社会价值也不断彰显，并被社会和相关权威机构所认可。比如，《海南自由贸易港高层次人才分类标准》就将GeekPwn获奖团队核心成员列为高层次人才类别之一。

GeekPwn 2022安全极客大赛又有哪些创新点呢？

揭开智能生活的“暗面”

正如本届大赛的主题——“让智能更安全，让安全更智能”所显示的，智能化产品已经渗透到人们衣、食、住、行的各个方面，而智能安全问题也迫在眉睫。参赛选手通过使用电脑劫持UWB通信智能机器狗、利用AI技术对抗AI、依据车架号生成汽车APP钥匙等操作，提前预演相关智能产品潜在的安全威胁。

“如果把汽车比作手机，那么传统汽车就像以人们早期使用的功能机，功能相对单一，涉及到的安全问题也相对较少。而智能网联汽车则像是我们今天使用的智能手机，安全问题暴露的越来越多。”GeekPwn负责人、KEEN公司总经理杨泉表示，“随着智能网联汽车的快速发展，与智能网联汽车安全相关的问题得到了各方越来越多的关切和重视。通过联网的方式影响汽车驾驶安全的这类漏洞价值非常高，也是参赛极客们更多关注的方面。”

TQL战队现场演示无接触解锁汽车

汽车安全类项目在今年的赛场上占据了很大比重，总共6个汽车安全类项目通过还原汽车攻破场景，警示公众和厂商注意智能网联汽车安全隐患。其中，TQL战队两名选手带来的《“共享”的汽车》项目，通过在云端针对租车平台发起攻击，内外场分工协作，仅用55秒就成功解锁3辆目标车辆，实现从车内取出指定物品的目标，选手以无接触技术手段成功解锁汽车的硬核操作。这也让二人荣获了年度卓越极客。

车联网在提升智能驾驶水平和汽车驾驶体验的同时，各类网络安全风险也正加速向车联网领域渗透。极客选手利用未知缺陷攻入智能汽车、汽车的手机APP以及共享汽车租车平台。这一研究发现将更好地指导相关厂商修复漏洞，守护车主的人身及财产安全，进而有效规避产业安全风险，助力汽车产业健康安全发展。

随着混合办公风靡全球，在线会议、在线办公、远程办公正成为新的趋势，而一旦重要商务信息被窃听或是员工个人信息被泄露，将给当事人造成不可逆的损失。在《窃听风云2022》项目中，极客选手通过连接与目标设备相同的网段，发起攻击获取root权限，不到几分钟便控制了VOIP话机，实时窃听商务会议话机视频内容；《特洛伊文档》项目则通过钓鱼文档这类社会工程学攻击，展示了日常办公中存在的安全隐患，为职场人敲响安全警钟。

如今，共享经济的盛行，使得日常生活中共享类产品随处可见，共享单车、共享摩托，甚至共享汽车等。《被愚弄的充电柜》项目从电瓶车使用者换电池需求出发，攻破共享电池换电柜，实现任意开关柜门，给快递员、外卖员这类换电柜经常性使用者带来严重损失。

GeekPwn赛场上与人们工作、生活密切相关的安全项目展示，更好地促进了公众安全意识的觉醒，在实况攻防之中，也让人切身感知到安全的价值所在。

“沉浸式”的安全攻防

举办多年，GeekPwn一直在探索和尝试内容与形式上的突破。今年的大赛也迎来了全新升级，打造了首个真实实况极客挑战赛。

GeekPwn 2022通过近距离、沉浸式的现场直播，为观众打造了一场技术性与观赏性兼备的极客攻防盛宴。大众不再是看热闹的旁观者，而是以参与者、见证者的身份融入到赛事之中，同时观众还能在线学习安全知识，了解极客不为人知的另一面，以“润物细无声”的方式，唤起人们的安全风险和隐患意识。

“以前的GeekPwn都是线下集中比赛的方式，现在我们用一种电视节目的方式将它呈现出来，今年又进一步演变成多天、多期线上直播的方式。”杨泉解释说，“大赛之所以有诸多新的变化，一方面是受疫情影响，线下集中不太方便；另一方面，直播的方式接受度越来越高，我们希望将比赛的形式与当前主流的传播方式进行结合，做一些有益的尝试。”

今年的GeekPwn还有一个重要的改变，就是选手评价标准有了新的变化，变成对选手本身的项目和选手研究能力的评判，技术难度、行业影响力、产业推动都是考虑因素，再加上选手的现场表现力等，从这几个维度进行打分，并且把不同行业的选手划规到一个维度中进行排名，推出了“GeekPwn排行榜”，更好地激励选手，避免选手唯奖金论。从实际效果看，选手们也愿意用排名的方式来体现项目本身的价值。

杨泉表示：“在GeekPwn的舞台上，不论年龄、性别、职业、学历，只要热爱和擅长发现网络世界的安全隐患，发现产业智能与消费智能潜在的安全问题，都能在赛场展示实力，为极客信仰而战。”

往期回顾

◆全球招募！GeekPwn2020新增“新基建”安全挑战赛

◆接招！智能信息安全

◆见证安全新力量！首届腾讯数字安全创新大赛收官