美國當地時間8月8日，全球信息安全行業的兩大世界頂級盛會Black Hat和DEFCON在美國拉斯維加斯將正式開幕，來自全球的數萬名白帽黑客、安全廠商、高校學者、甚至政府部門等安全從業人員齊聚，高度關注這一前沿技術饕餮盛宴。

其中，在BlackHat USA Arsenal軍械庫展上，螞蟻金服光年安全實驗室安全工程師周宇、高級安全專家曲和及來自默安的王偉，演示的針對VxWorks系統的高級模糊測試框架ChangWei，引起高度關注。據介紹，利用該框架可高效地發現系統本身和開發者代碼中的潛在漏洞，目前入選工具篇：《ChangWei:A Modern Fuzzing Framework for VxWorks System》。

VxWorks系統以其良好的可靠性和卓越的實時性被廣泛應用在工控物聯網領域，如衛星通訊、軍事演習、彈道制導、飛機導航等，安全的重要性不言而喻。然而，目前針對VxWorks系統的Fuzzing方法還停留在傳統的黑盒階段。針對這一業界痛點，螞蟻金服光年安全實驗室團隊創新性地將基于反饋的Fuzzing技術應用到VxWorks系統上，設計出ChangWei框架，利用該框架可以高效地發現系統本身和開發者代碼中的潛在漏洞。

另外，螞蟻金服光年安全實驗室的高級安全工程師周智和來自長亭的安全工程師張一峰在DEFCON USA DemoLab（演示實驗室）展示開源工具議題《Passionfruit: an iOS app blackbox assessment tool》。iOS和Android是目前最流行的兩大移動智能操作系統。相比后者，iOS的應用安全問題較少受到關注，工具也相對匱乏。

而Passionfruit，是一款專門為iOS平臺應用做安全測試和動態分析的工具，提供跨平臺的圖形界面，快速完成iOS應用安全測試中常見的需求，包括信息收集、URL測試、存儲信息分析、截圖、動態插樁等任務。通過Passionfruit工具，可以幫助開發者和安全研究人員方便快捷地對iOS應用暴露的攻擊面進行測試分析，更快速定位隱患，提升iOS應用的安全性。

螞蟻金服光年安全實驗室有著豐富的黑灰產抗擊經驗和行業內頂尖的攻防技術能力，除致力于護航支付寶及螞蟻金服的相關產品安全，同時也通過前沿的安全技術的分享來賦能外部合作商戶、廠商以及生態伙伴的安全。目前核心安全能力領域包括移動端瀏覽器的漏洞挖掘與利用、移動操作系統漏洞攻防研究、移動端應用供應鏈體系的漏洞攻防研究、生物識別安全以及IoT安全等。