36氪首發｜定位新一代智能模糊測試技術提供商，「雲起無垠」宣布完成數千萬元天使輪融資

36氪獲悉，安全初創廠商「雲起無垠」于今日正式對外宣布完成天使輪融資。據介紹，本輪融資金額在數千萬元級别，綠洲資本獨家投資。

雲起無垠成立于2021年7月，定位為新一代智能模糊測試技術提供商，希望通過Fuzzing（模糊測試）技術，為企業的整個軟體生命開發周期提供助力，從開發環節即幫助企業提升整體安全能力。

從技術分類角度出發，Fuzzing在廣義上被劃入開發安全範疇，是一種針對軟體安全的自動化測試方法。概括而言，其核心理念是通過向目标系統提供海量的非預期輸入，并通過監控與捕捉異常結果來找到更多的未知安全問題。

從行業角度而言，過去相對更被熟知的開發安全工具是AST，主要包括靜态應用程式安全測試（SAST）、動态應用程式安全測試（DAST)、互動式應用程式安全測試（IAST）。對比之下，Fuzzing技術過去多出現在學術領域 ，國内少見獨立廠商。但36氪觀察到，自2020年左右開發安全在國内愈發被重視，主攻不同安全測試工具的公司也随之增多，和AST對标的Fuzzing同樣也浮現出一些國内廠商。

雲起無垠正是其中一家。公司創始人兼CEO沈凱文表示，其在此時間點選擇Fuzzing作為創業方向主要有以下幾個原因：

首先對于行業格局而言，随着市場需求的變化，國内安全行業近年來更受客戶和資本認可。其中，開發安全已逐漸成為客戶完成安全基礎建設後的下一個建設重點。此外，Fuzzing近年在産業側的推廣與落地給了初創公司更多信心。目前在國際上，Fuzzing已被應用到 Google、Microsoft、美國國防部 (DoD)等頭部機構，側面說明Fuzzing技術擁有較高成長潛力。而且，沈凱文還覺得，Fuzzing技術的發展與落地使真正的代碼安全自動化測試成為可能。比如，智能覆寫引導技術的融入大幅度提升了Fuzzing技術的細粒度測試效率與效果。

另從客戶需求疊代的角度來看，沈凱文表示，此前客戶多用AST類産品，但此類産品隻能找到Web場景中的問題，而Fuzzing技術還可以拓展至API、協定、資料庫等更多場景。并且，與傳統測試技術相比，Fuzzing技術不僅能夠發現已知（1 day）漏洞，還能通過自動化技術挖掘更多的未知（0 day）漏洞。其本質的原因在于Fuzzing做軟體安全測試時，整體的粒度會更細，測試點會更多，判斷位置也會更精準。

他進一步介紹，模糊測試技術可通過模版生成或流量提取的方式自動化得到海量優質的測試種子。在測試過程中，模糊測試技術還可通過軟體覆寫率回報機制，智能地指導測試種子往優秀的方向變異。另值得一提的是，模糊測試還會通過觀測程式控制流圖（CFG）來判定記憶體破壞漏洞。這種基于系統底層邏輯的漏洞檢測方法，也使得任何細微的漏洞都可以被及時發現。“這會讓更多的客戶關注到Fuzzing的應用價值，進而給Fuzzing創業提供更大的市場空間。”沈凱文說。

然而從落地來看，将Fuzzing從技術轉化為産品，在國内還處于早期階段。

在代碼安全自動化測試技術領域，沈凱文表示，Fuzzing技術無疑是近幾年網絡安全四大頂級學術會議中最熱門的研究方向。通過學者們的不斷研究，目前Fuzzing在科研層面已經成熟。

但另一方面，産業界長期仍缺乏簡單易用的産品。這意味着，目前市場上雖然有更多客戶意識到Fuzzing的價值，但由于缺乏Fuzzing專業知識與落地經驗，普通客戶很難隻基于開源的學術Fuzzing架構來進行代碼自動化測試。比如從産品易用性來看，開源Fuzzing版本也缺少UI界面與使用者報告等基本子產品，這使得普通客戶難以将這些開源Fuzzing架構應用到日常工作任務中。總之，沈凱文覺得即便Fuzzing技術的優越性已在學術界得到認可，而由于Fuzzing自身的高技術門檻，“開箱即用”型模糊測試産品成為市場剛需。

在行業客戶畫像上，雲起無垠主要服務兩類客戶：第一類是對代碼安全漏洞容忍度很低的企業，比如汽車、Web 3.0、工業控制、軍工和航空航天等。這類客戶的産品一旦出現問題，往往會造成巨大的産品召回損失。是以，它們對産品的安全性要求非常高，願意投入大量資金來購買軟體安全自動化檢測工具。第二類是DevOps客戶，包括金融、網際網路企業等。這類客戶往往有着海量快速疊代的代碼，人工代碼審計完全不能跟上開發的速度。為了確定業務安全的快速疊代，自動化安全檢測是它們的剛需。

目前，雲起無垠正在逐漸建立更為全面的産品矩陣——針對“開發、測試、部署、運維”各階段，其提供基于Fuzzing技術的模糊測試産品，主要包括黑盒Fuzzing測試、灰/白盒Fuzzing盒測試。其中，前者主要覆寫開發、測試階段，後者可覆寫開發、測試、部署、運維階段。在推廣邏輯上，伴随着和客戶間信任度的提升，雲起無垠可以從提供黑盒Fuzzing測試産品，拓展到灰/白盒Fuzzing測試，進而提升自身産品在客戶處的覆寫面和效果。在使用場景上，這些産品主要落在協定、API、資料庫、Web3.0等場景。

總體而言，沈凱文認為Fuzzing領域的創業不僅需要技術能力，還需要對客戶的深入了解。對此，他表示雲起無垠的核心競争力之一在于其已經建立起具備産學研一體化能力的團隊。整體來看，雲起無垠的創始團隊分别來自清華大學、北京郵電大學、海外頭部高校及一線網際網路廠商。技術團隊成員多次在 DEFCON CTF、HITCON CTF、GEEKPWN 等世界國際頭部網絡安全競賽中獲獎，并在網絡安全四大學術會議和工業會議 Blackhat USA 發表多篇論文及演講。公司銷售團隊核心成員具備8年以上銷售及管理經驗，客戶群覆寫車聯網、金融、網際網路和營運商等重要行業。創始人沈凱文是清華大學網絡空間安全博士，也是藍蓮花、Tea Deliverers核心成員，在GeekPwn2019國際安全極客大賽中獲全球第一名，入選"極棒名人堂"。

在近期計劃上，雲起無垠計劃持續打磨産品，并進行客戶推廣。

關于投資：

綠洲資本表示：“作為新一代Fuzzing（模糊測試）技術先鋒，雲起無垠捕捉未知，服務企業軟體全生命開發周期。其創始團隊具備産學研一體的特點，能夠抓住市場痛點，實作技術落地。綠洲很期待與雲起無垠一起，實作其對産業發展的延展性。”