GeekPwn2018：从黑客的视角预见AI安全威胁

用AI技术骗过AI“指鹿为马”? 攻破虚拟机开启“上帝视角”?用一张纸秒破手机屏下指纹锁?那些原本只可能存在于科幻大片中的未来场景在GeekPwn的舞台上一一变成了现实。10月24日-25日，2018国际安全极客大赛(GeekPwn 2018)在上海如期而至，来自世界各地的安全研究员、白帽黑客、安全大牛们，组成黑客界“最强大脑”团队，攻破重重关卡与迷阵，上演了一场现实版“黑客帝国”。

GeekPwn 2018以“人‘攻’智能，洞见未来”为主题，旨在通过集结最强黑客战队，预演智能设备及人工智能领域潜在的安全问题，探索智能生活的安全之道，助力人们可以更安全地享受智能生活。同时，为了更加全方位洞见未来安全风险，本届大赛分为设置不同挑战场景的命题专项赛，不设限制的非命题开放赛和PWN4FUN趣味挑战赛。在24日上午的比赛现场，GeekPwn通过扣人心弦的沉浸式剧情串联起各项赛事，观众得以无缝融入剧情。创新有趣的赛制，脑洞大开的破解，让本次大赛的主持人——来自《最强大脑》的蒋昌建都不禁惊叹连连。

KEEN公司CEO、GeekPwn大赛发起和创办人王琦

KEEN公司CEO、GeekPwn大赛发起和创办人王琦表示：这已经极棒的第五个年头，希望通过极棒能够让大家看得懂那些前沿科学。自创办以来，极棒带来了许多脑洞大开的破解展示，向厂商提交了数百个，近千个严重安全威胁漏洞，在GeekPwn的努力下，在还没有在现实生活中爆发危害就已经被提前消灭。漏洞从来不是因为黑客才存在，恰恰是被黑客发现后消灭的。极棒要让更多人关注到智能生活中安全问题的重要性，人“攻”智能不是目的，我们这些年的努力，是为了让更多的人可以享受智能生活，让黑客带给我们更安全的光明和未来。

腾讯高级副总裁丁珂在开场致辞中表示：我们希望在未来发展当中，以前瞻和敏锐的黑客思维去探索，发现世界的新规律，而GeekPwn的这个舞台就是一个展现的平台。腾讯安全与GeekPwn已有五年的深度合作，我们始终致力于推动安全社区的建立。一方面，腾讯安全保持对安全社区的持续关注和投入，通过组织极客赛事、发布前沿技术、参与比赛等形式打造国际前沿的技术交流平台;另一方面，腾讯安全团队将自身安全能力开放给各行各业，为建设数字安全新生态提供助力。

黑客对决AI 上演“黑客帝国”绝地反击

当AI将你识别为“终结者”，可不是为了讨好献媚。GeekPwn2018的选手现场用自己生成的对抗样本成功骗过图像分类器，将宇宙飞船飞行器识别为巨石，将导弹物体误认为安全的，甚至将现场的特邀嘉宾、“最强大脑”节目主持人蒋昌建老师的照片识别为阿诺德·施瓦辛格。AI版“指鹿为马”让现场观众大跌眼镜。

作为全球首个探索人工智能与专业安全的前沿平台，极棒在探索AI安全的道路上从未止步。本届大赛更是首创CAAD 可视化对抗现场展示、AI“生成式对抗网络”(GAN)技术趣味挑战赛、利用AI对脱敏大数据进行追踪还原等赛事，为AI安全带来全新启示。

为了推动GAN技术的普及，由GeekPwn 联合谷歌大脑人工智能研究科学家 Ian Goodfellow、Alexey Kurakin 以及美国加州大学伯克利分校计算机系教授宋晓冬共同发起的 CAAD 对抗样本攻防赛。在CAAD线上比赛的100多支战队中成绩优异的6支战队在现场展开CAAD CTF线下对战的激烈角逐。他们分别是来自于自清华大学、中国科学技术大学、美国约翰·霍普金斯大学、Facebook、腾讯、阿里巴巴等知名高校与企业。

此次GeekPwn设置的CAAD专项挑战，在预演人工智能领域可能存在风险的同时，让更多人了解到如何以黑客思维去解决未来人工智能与专业安全的跨界问题，最终帮助人工智能健康安全成长。

攻防千千万万次 消灭危机于萌芽

时至今日，随着手机的越来越智能化，让手机承载了太多的功能与信息，同时也成了每个现代人手中最不可侵犯之物。正所谓越禁忌、越吸引，手机几乎成了各路黑客们的兵家必攻之器。

你以为加密的手机相册，别人就看不到吗?在GeekPwn2018的现场，来自AMC团队杨志伟、胡强，在观众和主持人蒋昌建老师的配合下，成功完成手机私密相册的破解挑战。据悉，他们是利用手机操作系统的漏洞，通过在手机中安装一个恶意APP，root权限执行任意命令，从而实现在手机中静默安装木马。对此选手还解释到，即便相册密码再长、再复杂，都抵不过操作系统存在的漏洞。

你能想象一张纸就能打开安卓手机的屏下指纹锁?腾讯安全玄武实验室在现场首度演示了影响触屏解锁型安卓设备的“残迹重用”漏洞——安全研究员通过一张普通的卡片，可以让任何人对手机的屏下指纹进行解锁。目前的屏下指纹解锁功能是利用光学技术捕捉用户的指纹影像，通过反射体欺骗的方法，可以利用屏幕上残存的指纹痕迹，让屏下指纹传感器认为手机的主人正在使用指纹验证。

手机屏下指纹锁项目破解演示

据悉，该漏洞属于屏下指纹技术设计层面的问题，会几乎无差别地影响所有使用屏下指纹技术的设备。腾讯安全玄武实验室负责人于D(TK教主)同时也表示，用户无需太过担心，腾讯安全玄武实验室早在今年初就开始和国内几家主流手机厂商合作，不仅通过更新算法修复了已上市手机中的漏洞，还将相关解决方案提交给相关芯片厂商，推动了供应链层面的安全修复。

此外，更有“世界级难度”的挑战在GeekPwn2018的舞台上演。长亭科技团队利用VMware虚拟机系统漏洞，仅用9分钟便成功获取ESXi宿主机系统的最高权限并进行任意控制，这无疑给私有云的运行安全和数据安全敲响了警钟，提醒各云计算企业在防御此类攻击时能具备先机。

是专业的竞技场，更是奇思妙想的舞台

诚如KEEN公司CEO、GeekPwn大赛发起创办人王琦曾说过的那样：“GeekPwn不止于破解,比起破解本身,我们更加注重脑洞大开的创意”，GeekPwn的舞台从未缺少过奇思妙想。

除了在科技与智慧上演激烈 PK外，本届GeekPwn还开创了很多天马行空的新玩法。既有腾讯安全、百度安全、京东安全、小米安全带来的烧脑游戏派对，又有棒还联合摩拜、唯品会、盘古、看雪论坛、机械工业出版社共同发起的“黑客公益集市”，有趣、有爱两不误。

人“攻”智能，不是GeekPwn的目的，是预演潜在风险、拓宽安全思维、帮助智能设备更加安全地问世、协助人工智能健康成长的手段。而GeekPwn所代表的安全极客们正在通过不倦的努力，为人们提供安全的智能生活。