就在2个多月前的2024欧洲黑帽大会(Black Hat Europe 2024)上,难得有来自台湾的两位资安研究人员灯台,并揭露一项名为WorstFit的研究成果,其内容是发现Windows ANSI字元转换的潜在问题。特别的是,当时我们已经注意到这项研究发布,因为这是台湾资安研究人员的发表,但对于其细节与意义并不是那么清楚,然而,这项创新研究在今年1月时,荣获了2024年度「十大网站攻击技法」第4名。
具体而言,这项研究是台湾资安公司戴夫寇尔(DEVCORE)首席资安研究员Orange Tsai(蔡政达),以及资安研究员Splitline(黄志仁),两人共同发表,其研究成果在于,能够实际找出Windows ANSI字元转换的潜在问题,成功揭露了一个崭新的攻击面,挖掘出3种攻击手法,包括:Filename Smuggling、Argument Splitting,以及Environment Variable Confusion。
同时他们还建立了一个WorstFit专属网站,帮助外界了解此问题的状况,并希望更多研究人员能继续探索这个攻击面,及早让相关潜藏问题获得重视与解决。后续,他们也在在这次的漏洞披露过程中,蔡政达与黄志仁也同时调查了开源生态系统,以识别更多受影响的应用程式,并尝试将相关资讯回报给维护者。以上是他们目前已通知与掌握的状况。
我们认为,此举符合现代所谓「资安左移」的概念,让台湾资安研究人员的能量,也可以透过这种方式,将骇客思维导入于更多企业团队之内。
但另一方面,随著AI技术的演进,如今2025年,用AI帮助资安漏洞研究,像是去年11月Google揭露AI抓漏专案Big Sleep,但目前还没有看到更多对此课题的探讨。我们认为,不论是资安研究人员如何善用AI技术协助自身漏洞研究,以及如何打造更AI自动化的这方面工具,也是国内资安界可以去设想与探索的。