記GEEKCON2025上海：在沒有天花板的地方，讓安全向下扎根，向上生長

“在一間小黑屋里，和愛技術(shù)的極客聊點兒與技術(shù)有關(guān)的事兒”。

一年前的10·24，談及心中理想的會議舉辦地，GEEKCON組委會主席大牛蛙（王琦）如是說道……

一年后，當(dāng)所有人都在期待這場“暗夜系的狂歡”時，GEEKCON再次憑借它對“守正出奇”的理解，聚焦起全球白帽黑客的目光——2025年的GEEKCON在上海西岸藝術(shù)區(qū)旁，一個露天停機坪上盛大啟幕！

沒有封閉的墻體，沒有天花板的遮擋，這一次，安全與它的守衛(wèi)者肆意的沐浴在陽光下，而每一位參與其中的極客正親手為智能時代種下那顆“不讓世界變壞”的種子。

自2014年創(chuàng)辦至今，GEEKCON已連續(xù)舉辦十七屆。秉持“自由·中立·非營利”的初心，從一場安全破解秀發(fā)展成為如今吸引全球3000余位安全研究者共同參與的現(xiàn)象級行業(yè)盛會，在為全球安全技術(shù)人才搭建起“展示、共享、交流”舞臺的同時，更架設(shè)起白帽黑客與智能設(shè)備廠商之間的正向溝通橋梁，憑借對前沿技術(shù)的關(guān)注，以深度的研探先于黑客一步發(fā)現(xiàn)安全漏洞，以技術(shù)之刃護航安全生活。

本屆GEEKCON大會在保留“DAF漏洞利用挑戰(zhàn)賽”、“30+5深度分享”、“特別披露”三大經(jīng)典板塊的同時，更多地聚焦AI時代的技術(shù)前沿，全新推出“低空經(jīng)濟與機器人安全特別挑戰(zhàn)專場”。

在“機械覺醒還是失控”的挑戰(zhàn)中，安全研究員成功利用某品牌具身機器人的未知缺陷，僅通過簡單的自然語言指令，便完成了未知漏洞的觸發(fā)。在極短的時間內(nèi)，先是遠程攻破了目標(biāo)機器人并取得其控制權(quán)，隨即借助該機器人對未聯(lián)網(wǎng)的另一臺機器人進行“人傳人”的“感染”，最終輕松操控機器人將現(xiàn)場擺放的假人道具推倒，造成嚴重的“物理傷害”。

一套攻擊操作行云流水，也將具身機器人的安全問題暴露無遺。隨著時代與技術(shù)的進步，具身機器人定會在不遠的將來更深度地參與到人類的日常生活中，從人機博弈到人機協(xié)同，安全不僅是基線也必將是底線。正如評委、GEEKCON組委譚曉生在項目點評中所表述的：“安全的具身智能必須是具身智能在生產(chǎn)、生活中普及的先決條件。如何找到優(yōu)雅、有效、可持續(xù)的解決方案，則需要學(xué)術(shù)界、產(chǎn)業(yè)界、監(jiān)管方等安全生態(tài)圈的共同努力”。

另一組選手則展示了名為“你的眼鏡，我的眼睛”的挑戰(zhàn)項目。挑戰(zhàn)者僅用70秒時間就完成了對某品牌AI智能眼鏡的代碼植入。攻擊完成后，設(shè)備的指示燈被熄滅，用戶根本無法察覺攝像頭已被遠程控制，眼前看到的一切都被現(xiàn)場直播。而出現(xiàn)在AI眼鏡面前的被“偷拍”者，也渾然不知自己成為了直播畫面中的一員。項目裁判、DARKNAVY安全研究員肖軒淦解釋道，“眼鏡被攻擊后，會實時將拍攝畫面?zhèn)鬏數(shù)焦粽叩脑O(shè)備上。”研究人員發(fā)現(xiàn)，這類攻擊不僅限于視頻采集，部分智能眼鏡的麥克風(fēng)同樣存在被靜默激活的風(fēng)險，這意味著用戶的隱私安全面臨全方位威脅。

無人機攻防演示同樣牽動人心。選手分別針對四款主流商用無人機進行了安全測試。選手首先站在十幾米外的地方，成功使2款不同品牌的無人機失控墜毀，隨即又實現(xiàn)了對另外2架不同品牌無人機的劫持。該環(huán)節(jié)的項目裁判李忠睿表示“選手發(fā)現(xiàn)了無人機系統(tǒng)中的數(shù)個漏洞，其中最嚴重的一個漏洞可允許攻擊者偽造控制信號，從而讓無人機處于失控狀態(tài)”。

還記得一年前，泉州發(fā)生的那起萬架無人機集體墜機事件給大眾帶來的沖擊與恐慌，在GEEKCON的舞臺上，白帽黑客的展示從不是炫技，而是在為行業(yè)做一次深度的安全體檢。其目的也是呼吁更多廠商把安全從“附加項”變成“必選項”。

螞蟻集團副總裁、螞蟻密算董事長、GEEKCON組委韋韜表示，“十年來的經(jīng)驗告訴我們，當(dāng)一類智能產(chǎn)品沒有上過GEEKCON，其安全性是沒有保證的，無一例外。智能產(chǎn)品上了GEEKCON，開始可能爆出挺多的漏洞，但這也正標(biāo)志著這類產(chǎn)品安全的起步。”

黑客技術(shù)是否被用于暗中作惡、侵害消費者的權(quán)益？這是GEEKCON持續(xù)關(guān)注的話題。在看似平靜的手機桌面上，惡意應(yīng)用將小組件化為透明的數(shù)字幽靈，悄無聲息地盤踞在用戶的手機屏幕上；在用戶點擊知名APP中的廣告欄時，自動安裝并啟動的惡意“快應(yīng)用”隨即對用戶進行無休止的彈窗甚至霸屏，制造透明圖層欺騙用戶點擊更多的廣告，甚至形成了“規(guī)模化運營的灰色產(chǎn)業(yè)鏈”。兩組匿名捍衛(wèi)者分別披露了這兩起案例，曝光了這些應(yīng)用的惡意行為，并呼吁各方將用戶的體驗與操控權(quán)置于商業(yè)利益之上、共同維護安全的移動生態(tài)環(huán)境。

在硬件錢包攻防環(huán)節(jié)，選手針對兩款主流虛擬貨幣硬件錢包發(fā)起攻擊。第一項挑戰(zhàn)中，攻擊者成功控制錢包助記詞；第二項挑戰(zhàn)則在未知PIN碼的情況下，借助漏洞在下一次交易中竊取PIN并轉(zhuǎn)移全部資產(chǎn)，整個攻擊過程僅持續(xù)約2分鐘，暴露出硬件錢包在核心數(shù)據(jù)保護與交易驗證機制上的嚴重缺陷。

大會現(xiàn)場還挑戰(zhàn)并分享了智能機車、AI智能體、安卓藍牙、手機應(yīng)用、電腦系統(tǒng)等不同領(lǐng)域的最新安全研究成果。

當(dāng)天上海的天氣，恰是極客們?nèi)粘５碾[喻——上午烈日炙烤，下午陣風(fēng)驟起，而這份隨時突發(fā)的不確定，正是網(wǎng)絡(luò)安全的變幻常態(tài)，但令人欣慰的是，正義的極客始終都在。

他們在酷熱里，把對安全的執(zhí)著 “向下扎根”，在每一次漏洞挖掘、代碼調(diào)試中筑牢數(shù)字地基；他們在冷風(fēng)中，借技術(shù)探索 “向上生長”，要長成抵御風(fēng)險的安全屏障。

而這片沒有天花板的停機坪，也藏著GEEKCON動人的巧思——安全從不該是藏在暗處的秘密，它本該像此刻這樣，坦坦蕩蕩的沐浴陽光，讓大眾看見風(fēng)險，更看見有人在為守護拼盡全力。

GEEKCON——它從未只是一場賽事，而是一顆 “不讓世界變壞” 的種子。當(dāng)一群人帶著對技術(shù)的熱愛，讓這顆種子在正義的攻防與實踐中發(fā)芽，那些在烈日里蹲守、大風(fēng)中堅守的身影，本就是數(shù)字世界最堅實的“防風(fēng)林”；而終有一天，這簇 “林” 會連成一片安全的綠網(wǎng)，為每個生活在數(shù)字時代的你我撐起一片安心的庇蔭。

此刻，讓我們從GEEKCON再出發(fā)，向未來問道，以技術(shù)的執(zhí)著探索，書寫未來最溫暖的答案！