喜讯！云起无垠获“中国产业互联网发展联盟 IDAC 双奖”

近日，“2024 长江经济带产业互联暨数字化转型大会” 在江西省九江市盛大召开。此次大会由中国产业互联网发展联盟、江西省工信厅、江西省科协以及九江市人民政府共同主办。大会期间，对在中国产业互联网发展中表现突出的企业进行了颁奖。云起无垠作为大模型驱动的网络安全智能体引领者，一举斩获 “杰出企业” 和 “优秀解决方案” 两项大奖。

在当今时代，新质生产力正以空前的速度蓬勃发展。以科技创新为核心驱动力，它融合了新能源、新材料、先进制造、人工智能等前沿技术成果，重塑传统产业格局并催生大量新兴产业。与此同时，数字化和智能化浪潮汹涌而至，深刻影响经济社会的各个领域。借助云计算、大数据、物联网等数字技术，企业能够智能优化生产、运营和管理流程，大幅提升生产效率和资源配置效率。新质生产力与数字化和智能化的深度融合，不仅是企业在全球竞争中脱颖而出的关键，也成为推动社会经济向高质量、高创新方向发展的强大引擎，为各行业带来前所未有的机遇与挑战。

云起无垠作为大模型驱动的网络安全智能体引领者，自成立以来一直专注于将人工智能和大模型等技术应用于软件在开发场景下的安全漏洞检测工作中，旨在帮助企业提前防范风险，即在业务系统上线运行之前，就完成对安全威胁的检测。

基于这一目标，云起无垠凭借自身在人工智能、大模型和网络安全领域的深厚技术积累，紧密围绕客户需求，坚持不懈地开展技术研究和产品创新。通过这些努力，公司成功构建了无垠模糊测试智能体，该智能体在漏洞挖掘、DevSecOps 和入网检测这三个关键场景中得以应用，为客户带来了极具创新性的解决方案，有力地保障了客户的信息安全和业务稳定。

模糊测试在漏洞挖掘场景中的应用

漏洞挖掘平台是网络安全防御体系中的关键组件，通过合理组合利用各类技术和工具，通过自动化和智能化手段，对软件和系统进行深入的安全检测，以识别和修复潜在的安全漏洞，在攻防两端都具有重要意义，但现有漏洞挖掘平台面临诸多痛点问题。

• 隐蔽安全漏洞难以检测：现代软件系统的复杂性使得安全漏洞更加隐蔽，传统的测试方法测试覆盖度有限，较难发现这些漏洞。

• 0day 漏洞威胁防范困难：未知漏洞（0day 漏洞）的存在对网络安全构成了巨大威胁，但已有漏洞挖掘手段对 0day 漏洞检测效果不佳。

• 漏洞检测成本高昂：传统的漏洞检测方法往往需要大量的人力和时间，这对于快速迭代的软件开发周期来说是一个挑战。

模糊测试作为一种高效的漏洞挖掘技术，在漏洞挖掘中发挥着重要作用。通过自动化和智能化的手段，模糊测试能够对软件和系统进行深入的安全检测，识别和修复潜在的安全漏洞，对于网络安全防御体系具有重要意义。

图  模糊测试在漏洞挖掘场景中的应用

模糊测试工具可以作为漏洞挖掘平台的核心组件，通过集成多种模糊测试引擎，支持针对于各种类型的软件和系统展开漏洞挖掘，覆盖操作系统、网络协议、数据库、Web 应用和二进制可执行文件等不同目标。通过自动化生成大量异常或随机的输入数据，减少了人工编写测试用例的需求，并覆盖广泛的输入场景，包括正常、边界和异常情况，充分遍历程序运行状态。同时模糊测试不依赖于对程序行为的先验知识，基于软件完整动态运行信息检测漏洞，能够有效地揭示深层次隐蔽漏洞和未知漏洞。

现阶段将 AIGC 等技术融入模糊测试大大增强了模糊测试能力。基于安全知识层的安全知识和漏洞库信息，可自动生成大量测试驱动，提高漏洞挖掘效率。通过向被测试的应用程序注入大量测试样例，更全面深入地挖掘潜在安全威胁，还能通过对测试用例的分析学习，优化生成策略，增强智能化程度，提高语义解析能力，使安全检测更具针对性。而且，AIGC 融入后，可基于代码执行路径、分支覆盖和函数调用等信息，指导生成和选择能探索未覆盖代码路径的变异操作和输入，降低误报率。

将模糊测试应用于漏洞挖掘平台的主要优势如下：

• 高覆盖：基于自动生成的海量测试用例进行全面的动态检测，遍历目标程序执行路径，可有效发现复杂和隐蔽的安全漏洞。

• 高精度：模糊测试针对运行中的系统进行检测，具备完整的程序运行信息，并且基于目标系统实际运行状态定位安全漏洞，误报率极低。

• 高效率：模糊测试具备高自动化程度，支持长时间持续自动化漏洞挖掘，减少了对专业安全人员的依赖，降低了安全测试的成本，具有很高的检测效率。

• 支持未知漏洞挖掘：模糊测试基于目标系统实际运行状态定位安全漏洞，不依赖已有漏洞信息，具备 0day 漏洞检测能力，帮助信息系统防御未知风险。

• 高效漏洞验证分析：基于静态/动态插桩技术，模糊测试可以获取目标系统代码上下文、调用栈、内存状态和崩溃用例等全面的漏洞相关信息，有效支持漏洞验证分析。

模糊测试在 DevSecOps 场景中的应用

DevSecOps 将安全集成到开发和运维流程中，通过自动化和工具协作来提高软件交付的速度和质量，同时确保安全性，已有广泛的实践。在 DevSecOps 中，开发、安全和运维团队共同工作，从设计到部署的每个阶段都内嵌安全措施，不仅提升了软件的安全性，也加快了上市时间，降低了风险。

现有 DevSecOps 体系痛点问题包括：

• 敏捷开发流难以集成复杂安全测试： 传统安全测试手段中，复杂的安全检测工作需要大量人工参与，自动化程度低且测试周期长，难以与敏捷开发流程无缝集成。

• 安全漏洞的验证和修复成本高：静态代码检测、黑盒动态测试等检测手段往往存在检测精度低、安全漏洞难以复现和验证的问题，导致安全漏洞的确认和修复成本较高。

模糊测试在 DevSecOps 中的应用主要体现在自动化和持续集成/持续交付（CI/CD）流程中，以确保在开发、测试和发布的各个阶段都进行安全检测。以下是基于所提供的图示详细解读模糊测试在 DevSecOps 中的应用：

图  模糊测试在 DevSecOps 场景中的应用

1. 需求管理和开发阶段

在需求管理阶段，需求下达后进入开发流程，代码存储在代码仓库中。模糊测试在代码安全方面可以发挥重要作用。源代码模糊测试在开发环境的 IDE 中快速启动测试，可以在开发早期发现并修复漏洞。通过自动生成大量边界和异常输入数据，模糊测试能够动态地发现静态分析工具可能遗漏的安全问题，具有检测精度高、覆盖率高的优势。

2. 代码检测和构建阶段

在代码仓库中进行代码管理和分支管理代码时，模糊测试可以对代码库进行检测，确保代码质量和安全性。源代码模糊测试针对从代码仓库中提取的未经编译的代码，通过变异输入数据测试程序的执行逻辑和错误处理机制，从而发现潜在的缓冲区溢出、非法内存访问等漏洞。

3. 应用测试阶段

在构建完成后，进入应用测试阶段，进行功能测试和性能测试。协议模糊测试针对应用中的网络协议接口进行，自动生成不符合协议规范的数据包，测试应用程序对非标准输入的处理能力，发现协议解析器中的漏洞。API 模糊测试则针对 Web 应用及后端 API 接口，通过自动生成海量畸形输入，模拟各种攻击手段，如 SQL 注入、XSS、CSRF 等，充分检测和验证 Web 应用的安全性。

4. 发布准备和预发布阶段

在发布准备和预发布阶段，需要确保系统在准生产环境中的安全性。通过模糊测试对准生产环境进行全面的安全检测，遍历目标程序的执行路径，检测信息系统中的潜在缺陷，并支持快速验证和修复。

5. 上线运行阶段

在系统上线运行后，模糊测试依然发挥着重要作用。通过持续进行模糊测试，监控系统在生产环境中的安全状况，发现和修复潜在漏洞，防止安全事件的发生。

模糊测试在 DevSecOps 体系中的应用带来了以下效果和优势：

• 提高安全性：模糊测试可以应用在 DevSecOps 的多个环节，通过早期发现和修复漏洞，显著提高软件的安全性。

• 缩短上市时间：模糊测试与 DevSecOps 深度嵌合，自动化的测试流程减少了手动测试的需要，加快了软件的开发周期。

• 降低成本：模糊测试能够助力实现安全左移，在软件生命周期的早期便发现潜在安全风险，同时提供丰富详细的风险信息来协助快速修复，进而帮助企业降低漏洞修复的后期成本。

• 持续改进：通过对测试用例集的积累和复用，实现对同类安全问题的快速验证，促进了软件安全设计的持续改进。

模糊测试在入网检测场景中的应用

入网安全检测是企业或机构在自研或外购信息系统进入核心网络部署运行前的重要安全检查，其目的是综合利用各类安全检测手段，确保系统在接入核心网络前不携带任何潜在的安全威胁。这对于保护企业的核心资产、数据和知识产权至关重要。通过入网安全检测，可以识别和修复潜在的安全漏洞，从而降低数据泄露、服务中断和声誉损害的风险，也有助于满足合规性要求，为企业提供法律和技术上的安全保障。

现有入网安全检测痛点如下：

• 难以全面充分评估系统安全性： 传统安全检测手段中 SAST 等静态检测方法缺少系统动态运行信息，DAST 等动态检测手段则受限于测试用例规模，难以实现对目标系统充分全面的安全评估。

• 难以防御未知安全风险：已有安全检测手段对未知漏洞检测能力有限，难以应对不断演变的安全威胁。

智能模糊测试作为一种先进的安全检测技术，通过自动生成大量异常、随机的输入数据，对系统进行深入的动态检测，从而发现传统静态检测方法难以发现的安全问题，提供丰富全面的风险信息并支持自动复现验证，在入网安全检测场景中发挥着至关重要的作用。

图  模糊测试在入网检测场景中的应用

通常，模糊测试在入网安全检测中的应用包含如下：

1. 代码安全

在代码安全检测中，代码模糊测试作为静态代码分析的有力补充，能够动态地发现那些静态分析工具可能遗漏的漏洞。静态分析可能因代码复杂性和缺少动态信息而具有较高误报率和漏报率，而代码模糊测试则通过实际执行代码来验证潜在的安全问题，检测精度高。通过自动化生成大量边界和异常输入，可以显著提高代码的测试覆盖率，从而发现边缘案例和隐蔽漏洞。模糊测试为开发人员提供丰富的漏洞信息和复现用例，支持用户快速完成漏洞验证和修复。

2. 应用安全

• Web 安全检测：对于 Web 应用，API 模糊测试可以基于 API 接口文档自动发起全面测试，通过自动生成海量畸形输入模拟各种攻击手段，如 SQL 注入、XSS、CSRF 等，以充分检测和验证 Web 应用的安全性。

• 应用软件检测：二进制模糊测试不依赖于源代码，直接对编译后的程序二进制文件进行测试，通过自动生成变异的输入数据，包括无效的指令、异常的内存访问模式等，以测试程序的执行逻辑和错误处理机制，可以有效地发现缓冲区溢出、非法内存访问、输入验证不足等漏洞。

协议模糊测试通过自动生成不符合协议规范的数据包，或者故意构造异常、错误的协议消息，来测试应用程序对非标准输入的处理能力，可以揭示协议解析器中的漏洞，如协议栈的崩溃、内存泄漏、不正确的协议实现等问题。

3. 系统安全

• 操作系统安全：操作系统模糊测试可以模拟各种系统调用和文件操作，评估操作系统对异常输入的处理能力，识别潜在的崩溃点、内存泄漏、权限提升等风险。

• 数据库安全：数据库模糊测试专注于检测数据库管理系统（DBMS）的漏洞和异常处理能力，通过向数据库接口发送大量随机生成的、异常的、甚至是恶意的 SQL 语句，以评估数据库对于非预期输入的处理机制，揭示 SQL 注入漏洞、不恰当的错误信息泄露、数据泄露、权限绕过等安全问题。

模糊测试在入网安全检测中的优势如下：

• 提高安全性：基于自动生成的海量测试用例进行全面的动态检测，遍历目标程序执行路径，充分检测信息系统潜在缺陷并支持快速验证修复，显著提高系统的安全性。

• 防御未知风险：模糊测试基于目标系统实际运行状态定位安全缺陷，不依赖已有漏洞信息，具备 0day 漏洞检测能力，帮助信息系统防御未知风险。

• 提高效率：模糊测试在被测目标解析、测试用例生成、缺陷定位等环节都具备高自动化程度，支持长时间持续自动化检测。它提供丰富全面的安全缺陷信息，并支持复现验证和修复指导，大幅提高检测和修复效率。

截至目前，云起无垠的无垠模糊测试智能体已经在检验检测机构、能源、航空等多个行业中获得了广泛应用。这一智能体为客户提供了创新性解决方案，成功解决了安全漏洞引发的安全威胁问题，保障了客户业务的安全稳定运行。

云起无垠此次荣获中国产业互联网发展联盟两项大奖，这不仅充分印证了外界专家对公司的高度认可，也体现出对公司产品解决方案的高度认同。这两项大奖，是对云起无垠一直以来努力的肯定，更是对其发展方向的积极支持和鼓励。

展望未来，云起无垠将继续坚定不移地开展技术研究与创新工作。公司将不断丰富产品解决方案，拓展其应用场景，致力于为更多企业的安全稳健发展提供强有力的支持，助力企业在数字化浪潮中乘风破浪，应对各种安全挑战，为国家筑牢网络安全屏障。