在成都这座充满活力的城市中,一场聚焦于网络安全技术前沿的沙龙——“锋刃无影·御见未来”圆满举办。此次活动由腾讯安全携手教育漏洞报告平台(EDUSRC)及米斯特AI安全分部共同呈现,汇聚了云安全、红队攻防、AI大模型等领域的顶尖智慧,为来自川渝地区的两百余名安全专家、白帽子带来了一场深度交流与思想碰撞的盛宴。
活动中,绿盟科技的高级研究员刘浩率先分享了关于大模型驱动渗透测试的前沿探索。他指出,传统渗透测试工具在面对复杂业务逻辑时显得力不从心,而团队研发的智能体+Workflow架构,通过AI技术实现了从视觉识别到动态攻击载荷生成的自动化流程,已在金融、电商领域显著提升渗透测试效率,为企业安全团队释放了宝贵的人力资源。
移动安全领域的专家胡雪松则带来了对鸿蒙系统安全的深度剖析。他强调,鸿蒙5基于Open Harmony的独特架构,构建了严密的安全防线。团队通过一系列技术创新,填补了鸿蒙逆向研究的空白,为国产系统的安全防护提供了新视角。
联想全球安全实验室的伊万揭示了物理层渗透的新威胁——ScreenCrab攻击。这种攻击手段利用硬件漏洞窃取敏感数据,对企业构成严重威胁。他提出,构建技术检测与员工意识提升相结合的双轨防御体系,是有效应对此类攻击的关键。
腾讯云鼎实验室的张向伟则聚焦于浏览器攻防的新战场——WebAssembly。他介绍,随着Wasm新特性的引入,浏览器漏洞风险激增。团队通过AI辅助的模糊测试框架,成功捕获了多个高危漏洞,并提出优化比对机制,显著提升了漏洞分析效率。
在AI赋能红队攻防方面,独立研究员洺熙展示了“规则+智能”混合攻防体系的强大威力。该体系利用多模态技术伪造高仿真钓鱼内容,结合AI分析提升攻击效率,并在0day预测、供应链分析等领域验证了其效能。
腾讯云鼎实验室的高级工程师张恒还探讨了云上身份安全的盲区问题。他指出,攻击者通过STS服务生成临时令牌,能够绕过传统防御机制,获取控制台登录权限。因此,建立API与控制台双维度审计体系,成为填补这一安全盲区的关键措施。
在生态共建方面,腾讯云鼎实验室推出了全新的众测平台,采用国标漏洞分级标准,确保漏洞评估的公正性。同时,平台还通过直接现金兑换机制,激励白帽积极参与漏洞挖掘与防护工作,构建可持续的安全生态。云安全联盟(CSA)也任命了新的云渗透工作组组长,并推出了优惠认证课程,旨在培养更多具备实战经验的云安全人才。
在圆桌讨论环节,来自高校与企业的代表共同探讨了AI时代的安全挑战与人才培养策略。他们一致认为,面对技术迭代带来的新威胁,企业需加强攻防、开发与AI技能的复合型人才培养,而高校则应强化底层技术能力的教学,通过产学研联动提升实战技能。
