GEEKCON 2024上海站闭幕，网络安全行业的真实是什么？

每年的DAF挑战赛都汇聚了全球顶尖漏洞研究团队，通过一系列真实场景的挑战，展示他们对复杂系统漏洞的深度挖掘与利用能力。今年GEEKCON 2024上海站一开场，就进行了DAF挑战赛的第一项比赛：短信，不再可信？Spreader小分队和清华大学Redbud团队同时进行挑战，他们在不使用外置硬件的情况下，远程伪造任意手机号码，向目标手机号发送短信。

在全场观众的瞩目下，两边的挑战者纷纷完成了挑战。除了伪造主办方提前设置的不同供应商的手机号码外，挑战者还在评委的要求下，模拟了工信部公共服务平台的短号12381发送短信。这项挑战的结果颠覆了大家的认知，也迎来了观众的惊呼。

此外，由安全脉脉团队挑战的“安全保护下的智能汽车，还能被顺走吗？”也吸引了观众的目光。凭借车架号，安全脉脉团队不仅成功解锁了智能汽车，还将其发动。近年来，智能汽车厂商纷纷开启了一键启动功能，攻击者可在攻击后利用这一功能，进一步开走汽车，造成更大的危害。

“会议中的潜伏者”这项挑战也同样精彩。无踪安全实验室针对某品牌投屏系统发起挑战，通过突破会议投屏系统安全防护，进而控制办公电脑，获取机密文件。

DAF挑战赛是每年GEEKCON的重头戏。这些挑战不止惊奇，其背后暴露的巨大风险让从业者惊叹，也提高了业界的关注和重视。正如GEEKCON所强调的，不神话黑客、不放大威胁，从科学公正的角度去评判安全事件。

今年的“特别披露”主要围绕着手机安全。在日常生活中，几乎每个人都会被手机通知所困扰，大量的APP不断推送着各类消息，逼迫着用户不得不手动将其清除和关闭。但有时，即便APP不在后台运行，也会有消息推送出来。“特别披露”的第一议题披露了这一现象的背后原因，还揭开了其中的风险。

另一项议题关注到了某些品牌的手机中潜藏的安全问题。某手机厂商为了牟利，竟利用系统特权向正常应用中植入广告，还在用户毫无察觉的情况下窃取个人信息。买来一台手机，消费者却要被频繁侵扰，甚至付出隐私数据的代价。这不仅触犯了我国制定的各项法律，还对用户信任发起了挑战。

现场为勇于披露的白帽黑客颁发了GEEKCON “捍卫者奖”证书，并向利用黑客技术突破底线、侵犯用户隐私、肆意敛财的厂商颁发年度安全界“鲱鱼奖”。这是继2023年首届“鲱鱼奖”公布以来，再次有两家厂商获此“殊荣”。

今年黎巴嫩BP机爆炸事件引起了广泛关注。据专家解析，攻击者是将特殊爆炸材料置入BP机中，并发送特定波频导致BP机发热，从而实现爆炸。此次爆炸事件的背后逻辑看似简单，但依然引起了大众的恐慌，BP机可以爆炸，那其他电子产品是否也能如此呢？

GEEKCON关注到了这一趋势，并在今年特别设置了“爆炸专场”。这场挑战赛首次将安全研究与实战场景紧密结合，通过规则约束，深入探索物联网设备的安全边界。在经过3周时间的报名招募后，该挑战赛无选手报名，因此DARKNAVY的技术组委在现场进行了实验与验证。研究员拆解了一部苹果手机，通过电池大电流快速放电，使手机达到较高温度，以此尝试引发电池热失控。实验前期，手机电池温度快速升高，短短几秒，就达到了50度，但随后升温速度变缓，达到62度左右就开始下降，最后保持在25度左右，未达到热失控温度。由此可以证明，主流手机电池上的BMS系统对电池热失控做了有效的防护手段，带BMS系统的电池在放电状态下不太可能发生爆炸。

这场现场实验展示了存在于手机电池的安全防护机制，科学分析了手机电池爆炸所需的苛刻条件，为消除社会恐慌提供了较为可靠的参考凭证。作为GEEKCON2024上海站设立的特色赛事，本次特别挑战展现了极客精神与社会责任的完美融合。它不仅是一场技术的求真，更是推动整个行业正视安全隐患，不神话黑客，也不放大威胁，从科学公正的角度去评判安全事件。

和去年不同的是，深度分享这一环节从去年的15+5增加到了30+5，即30分钟讲解，5分钟演示。而相同的是，今年深度分享的内容依然精彩。

来自Google Android Red Team展示了如何在用户空间中实现Linux内核漏洞的自动化挖掘以及通过底层通信漏洞实现对安卓设备的全面控制，突破移动设备的安全壁垒；某厂商防护实验室分享了绕过Java限制对服务器进行攻击的手段，揭示企业级应用的深层安全隐患；腾讯玄武实验室通过WASM漏洞针对Chrome浏览器进行攻击，揭示了现代浏览器中的潜在弱点。

据悉，参赛团队发现的多个安全缺陷已负责任披露给相关厂商，此举将引发业界重视，加速通信安全、智能汽车及物联网设备等领域安全升级。

早在2016年，GeekPwn便率先聚焦人工智能安全问题，邀请“生成式对抗网络之父”Ian Goodfellow分享对抗样本研究，后续更涉及欺骗人脸识别、AI虚假视频生成与检测等挑战。而今年，GEEKCON 2024举办了年度特别赛事“AI与黑客挑战赛”。

在“AI与黑客挑战赛”中，三支参赛队伍展现了AI在网络安全领域的突破性应用。安恒信息GenZ队、上海交通大学Ph0t1n1a队和多校联合的Emmmmmm2024战队分别在“AI自动化漏洞挖掘”和“智能渗透测试”两大赛道上展开角逐。

经过多轮激烈角逐，最终Ph0t1n1a队获得第一。选手们成功实现了漏洞挖掘、敏感信息定位，甚至漏洞利用的智能化突破，帮助安全研究人员大幅度提升效率。这些创新成果不仅展示了AI在安全攻防领域的巨大潜力，更有助于推动整个行业加速向智能化升级转型。

真实是今年的主题，对抗研判AVSS精英挑战赛是由GEEKCON基于真实的网络安全“碰撞测试场”所创立的。挑战赛旨在通过攻击者的角度对智能系统进行全面、科学的“碰撞测试”，进而量化系统的安全水平，让消费者对于产品的安全性有更直观的感受与评判；也让厂商对于产品的安全投入更加可视化。

在今年的“对抗研判AVSS精英挑战赛”中，五支国内顶尖安全战队入围决赛，现场展开激烈角逐，通过“网络安全碰撞测试”方式对智能系统进行全方位安全评估。最终星盟Polaris团队获得一等奖，知名CTF劲旅Nu1L获得二等奖，高校联合的Emmmmmm2024摘得第三，r3kapig与浙大AAA战队获得优胜奖。

AVSS挑战赛实现了对智能系统安全性的量化评判，不仅建立了直观的安全参考标准，更促进产品制造商优化安全投入，为产业界建立了一套科学的安全评估体系。这一创新模式标志着网络安全评估进入标准化、可视化的新阶段。

真实·黑客说是本届大赛的全新分享环节，在安全行业沉浮多年的老中青几代白帽黑客，也是GEEKCON赛事评委、议题评审委员们，在大赛现场就“安全是个好行业吗？”展开激烈讨论。

蚂蚁集团副总裁、首席技术安全官韦韬提出，如果人类最后只有一个职业，那就是安全。未来整个国家对安全的需求肯定是会持续性增长增加的。

前阿里巴巴技术副总裁和首席安全专家杜跃进表示，安全讲究实实在在的能力。希望我们每一个人能真实地把自己的能力做好。

京东集团首席安全研究员，獬豸安全实验室负责人何淇丹表示：“极客精神，甚至说整个互联网起步的时候有一种精神，是让这个世界变得更好。希望大家还能坚持这种精神。”

清华大学网研院教授段海新表示：“安全从业者经常遇到这样的情况：平时不出事，领导问要你们干啥？出了事后，领导问要你们干啥？即便如此，我们还是要以披露安全漏洞，说出安全的假象为己任，这种精神会让网络安全变得越来越好。”

腾讯玄武安全实验室负责人、知名大V Tombkeeper鼓励现场信息安全专业的学生：“我们面临的威胁是来自全球一个局部的一些情况，是不可能长期存在的，最终一定是在对抗中分出高下胜负，能看出到底谁是真正有价值的。所以坚持选择的路走下去，最终努力一定能被看到。”

网络安全行业在近年来发生了巨大的变化，在度过了蛮荒增长的阶段后，业界也洗涤了浮躁之风，真实成为业界发展的主旋律。

GEEKCON 2024上海站以真实为主题，通过舞台上的展示与分享让真实被看见，让安全得到重视，让安全价值进一步可视化。业界需要这种真实，网安从业者们也是如此。当浮躁之风过去，留在网安行业的可能是虚无，可能是凋零，但最好还是真实。