美國當?shù)貢r間8月8日，全球信息安全行業(yè)的兩大世界頂級盛會Black Hat和DEFCON在美國拉斯維加斯將正式開幕，來自全球的數(shù)萬名白帽黑客、安全廠商、高校學者、甚至政府部門等安全從業(yè)人員齊聚，高度關注這一前沿技術饕餮盛宴。

其中，在BlackHat USA Arsenal軍械庫展上，螞蟻金服光年安全實驗室安全工程師周宇、高級安全專家曲和及來自默安的王偉，演示的針對VxWorks系統(tǒng)的高級模糊測試框架ChangWei，引起高度關注。據(jù)介紹，利用該框架可高效地發(fā)現(xiàn)系統(tǒng)本身和開發(fā)者代碼中的潛在漏洞，目前入選工具篇：《ChangWei:A Modern Fuzzing Framework for VxWorks System》。

VxWorks系統(tǒng)以其良好的可靠性和卓越的實時性被廣泛應用在工控物聯(lián)網(wǎng)領域，如衛(wèi)星通訊、軍事演習、彈道制導、飛機導航等，安全的重要性不言而喻。然而，目前針對VxWorks系統(tǒng)的Fuzzing方法還停留在傳統(tǒng)的黑盒階段。針對這一業(yè)界痛點，螞蟻金服光年安全實驗室團隊創(chuàng)新性地將基于反饋的Fuzzing技術應用到VxWorks系統(tǒng)上，設計出ChangWei框架，利用該框架可以高效地發(fā)現(xiàn)系統(tǒng)本身和開發(fā)者代碼中的潛在漏洞。

另外，螞蟻金服光年安全實驗室的高級安全工程師周智和來自長亭的安全工程師張一峰在DEFCON USA DemoLab（演示實驗室）展示開源工具議題《Passionfruit: an iOS app blackbox assessment tool》。iOS和Android是目前最流行的兩大移動智能操作系統(tǒng)。相比后者，iOS的應用安全問題較少受到關注，工具也相對匱乏。

而Passionfruit，是一款專門為iOS平臺應用做安全測試和動態(tài)分析的工具，提供跨平臺的圖形界面，快速完成iOS應用安全測試中常見的需求，包括信息收集、URL測試、存儲信息分析、截圖、動態(tài)插樁等任務。通過Passionfruit工具，可以幫助開發(fā)者和安全研究人員方便快捷地對iOS應用暴露的攻擊面進行測試分析，更快速定位隱患，提升iOS應用的安全性。

螞蟻金服光年安全實驗室有著豐富的黑灰產(chǎn)抗擊經(jīng)驗和行業(yè)內頂尖的攻防技術能力，除致力于護航支付寶及螞蟻金服的相關產(chǎn)品安全，同時也通過前沿的安全技術的分享來賦能外部合作商戶、廠商以及生態(tài)伙伴的安全。目前核心安全能力領域包括移動端瀏覽器的漏洞挖掘與利用、移動操作系統(tǒng)漏洞攻防研究、移動端應用供應鏈體系的漏洞攻防研究、生物識別安全以及IoT安全等。