**5月25-26日,国际知名极客大会GEEKCON 2024新加坡站成功举办。**来自全球12个国家的40支队伍齐聚一堂,进行技术交流和比拼。京东安全参与此次活动,并展示了技术研究新成果。
端上异常广告流量发现与手法验证****
京东安全獬豸实验室在会上以“广告流量背后的秘密”为题目进行了技术演讲,分享了广告主们正在面临的广告流量劫持问题。京东安全发现,攻击者会潜伏在品牌自然流量的入口劫持用户,使得自然流量强行转换为付费流量。这种行为会消耗广告主们的广告费,并且对其用户体验造成影响。针对该问题,京东安全獬豸实验室从异常流量分析和端上复现两个角度阐述了针对这类劫持如何进行防御。研究人员经过验证发现,攻击者大都利用特权来实施劫持,例如输入法,剪切板,无障碍服务以及厂商特权等。例如,用户为了方便使用一些功能而可能会开启无障碍服务,这也给攻击者留下了可乘之机,他们也会利用无障碍服务偷偷帮用户点击广告。
*活动现场
为此,京东安全建议广告主与媒体平台、厂商密切协同,联合排查特权流量问题,及时止损,并且共建防御机制;建议用户要谨慎使用特权APP,同时在面对异常广告跳转以及异常弹窗时能够积极反馈。
基于经验的越狱风险持续追踪框架ExpAttack
5月25日,京东安全蓝军团队和中科院信工所黄庆佳老师团队利用共同研发的“基于经验的越狱风险持续追踪框架ExpAttack”,参加GEEKCON AI&HACKERS中的《The Art of Deception》1V1赛。GEEKCON AI&HACKERS赛道1V1赛的目标是让选手对现有的大语言模型(Gemini1.5pro、GPT4o、GPT4、Claude3等目前最先进的大语言模型)进行越狱攻击,并对比展示双方选手的攻击成功率。ExpAttack最终以82.5%的攻击成功率成功击败对手,赢得比赛。
*活动现场
随后,战队分享了ExpAttack相关技术:ExpAttack旨在帮助企业感知并验证越狱风险,解决大模型越狱攻防研究者面临的两大难题:一是越狱方法迭代速度快;二是追踪越狱方法的成本高昂。为此通过大模型持续性的从互联网学习越狱方法,并将越狱方法结合相关越狱风险,对大语言模型进行自动化RedTeam测试,来验证当前越狱风险的大小。
目前ExpAttack技术已经在京东蓝军的攻防实战演练中落地应用,并且通过持续的打磨发现企业潜在的风险。
欢迎加入京东安全!
京东安全正在招募各路英雄,如果你拥有安卓、iOS逆向和攻防、操作系统和浏览器等漏洞研究、AI安全能力等,想要加入崇尚技术创新的、用技术守护互联网安全的我们,欢迎投递简历至 jsrc@jd.com。(简历请备注:名字+岗位)
京东安全实验室
京东安全獬豸实验室 (Dawn Security Lab) 是京东安全专注前沿攻防技术研究和产品沉淀的部门,团队成员曾多次获得黑客大赛冠军、在Blackhat等顶级安全会议上发表演讲,在端安全、云安全、广告安全等领域有深厚技术积累,获得2022年黑客奥斯卡-Pwnie Awards“最佳提权奖”,发现Google、Apple、Samsung、小米、华为、Oppo等数百个CVE并获得致谢,是GeekCon等峰会的荣誉合作伙伴、CNNVD一级支撑单位、华为终端安全计划优秀合作伙伴。
京东蓝军
京东蓝军是京东集团信息安全部专门成立的,专注于从攻击者视角来评判、推演和验证集团各BGBU安全能力的,一支以攻促防的专业化队伍。团队成员由资深威胁分析师、安全研究员和道德黑客精英组成,他们曾为一些国内一流公司和组织服务多年,致力利用业界领先攻防技术来挖掘并消除京东的安全防护短板。
