智能模糊測試廠商「安般科技」獲 得超億元 A 輪融資，推進國產軟件安全加速發展

鎂客網獲悉，智能模糊測試技術提供商「安般科技」獲得超億元 A 輪融資，硅港資本和上海東方證券創新投資有限公司聯合領投，名...

鎂客網獲悉，智能模糊測試技術提供商「安般科技」獲得超億元 A 輪融資，硅港資本和上海東方證券創新投資有限公司聯合領投，名川資本和中南資本跟投。

「安般科技」成立于 2018 年 12 月，是國內最早從事智能模糊測試技術商業化落地的企業，專注于提供軟件全流程負面測試產品和解決方案，當前產品線主要包括模糊測試和軟件供應鏈安全兩大類。

在軟件定義世界的趨勢下，軟件已經逐漸滲透到生活的方方面面，與此同時軟件本身的缺陷及其帶來的災難性后果將成為一個無法忽視的灰犀牛。據統計，2020 年美國不良軟件質量損失(CPSQ)約為 2.08 萬億美元，其中軟件缺陷造成的損失高達 1.56 萬億美元。近年來我國軍工、金融、汽車等多個行業也陸續出臺了與軟件質量相關的強制性標準和政策。但如今動輒數億行的代碼規模已無法僅依賴現有的測試手段去對其充分測試從而保障質量。于是，模糊測試，一種古老的技術正被賦予全新的革命性意義。

模糊測試作為一種負面測試技術，早在 1989 年即被提出，它是利用自動或半自動的方法，不斷地向被測程序提供非預期輸入并監控輸出異常來發現軟件缺陷的方法。在過去幾十年經歷了“完全隨機”、“基于模板”、“基于文法”幾個階段的發展，隨著 2014 年AFL 的提出，其通過對軟件內部狀態的監控，當代模糊測試進入一個全新的智能時代。

最近幾年，像 Google、Microsoft 等巨頭的核心系統已經大量使用模糊測試技術，美國國防部在其 2019 年的年度國防方案 HR5515 曾大篇幅的要求美國空軍等關鍵系統強制使用模糊測試技術，2021 年發布的 EO 14028 總統行政命令更是將模糊測試作為各行業軟件最低發布標準。在類似的法規要求下，海外已經出現了一些專注智能模糊測試技術服務的新興獨角獸企業，在商業化模糊測試的實踐上也效果頗豐。例如在 2018年左右開始進入模糊測試賽道的美國公司 ForAllSecure，于 2020 年 5 月僅針對美國空軍某一個部隊就簽下一筆 4500 萬美元為期三年的訂單；又如成立于 2018 年的德國公司 Code Intelligence，已成功在多個無人駕駛領域和工業場景落地模糊測試技術?！赴舶憧萍肌棺鳛槭澜绶秶鷥茸钤缫慌鷱氖履：郎y試技術商業化落地的企業在技術和產品上與國外同行并駕齊驅，但在市場上更多的聚焦在我國正在快速發展的國產軟件行業，持續助力國產軟件更好更快發展。

談及產品化工具，創始人汪毅表示，公司以智能模糊測試技術為核心已研發了多場景的模糊測試工具，并在 2020 年開始涉足軟件供應鏈領域，同時聯合了多個深耕軟件安全工具的廠商共同推出了面向軟件開發各個環節的全流程負面測試解決方案，構建基于 DevQualOps 思想的多維度軟件負面測試能力。

目前「安般科技」有五個測試系統產品：

易恒智能模糊測試系統：針對 C/C++（Linux）和 Java 源碼的模糊測試工具，能夠發現近百種與程序健壯性和安全性相關的缺陷。易恒能夠無縫嵌入 CI 流程，在開發階段，提供透明化、自動化測試服務，協助開發人員挖掘、定位、復現和修復缺陷；在集成測試階段，利用人工智能技術，幫助測試人員快速生成海量有效測試用例，發現程序缺陷并大幅提升測試覆蓋率；實踐表明，易恒智能模糊測試系統可以有效提升程序健壯性，保障程序發布質量，是企業 DevQualOps 最佳實踐的重要工具。

易偵協議模糊測試系統：通用的自動化協議模糊測試工具，支持數十種常用協議，能夠快速識別協議軟件中的缺陷和 0day 漏洞。易偵支持黑盒測試和全數字仿真測試兩種測試方式，黑盒測試場景下無需提供軟件源代碼，通過協議發送變異報文對軟件進行測試，使企業快速進入測試驗收環節。在全數字仿真環境下，通過代碼插樁可以進一步獲取軟件的運行狀況、函數動態調用關系、多種覆蓋率（行覆蓋率、分支覆蓋率、函數覆蓋率、MC/DC）等信息，幫助企業更精準的發現和修復軟件中的缺陷，提升軟件質量。

易察 API 模糊測試系統：易察是面向 API 接口的黑盒模糊測試工具，創新性的將模糊測試引入了 API 測試領域。易察可以自動發現 Web 應用中的 API 接口并解析 API 規范，根據接口間的依賴關系通過模糊測試技術生成海量具有針對性的測試用例，向目標接口發送請求進行測試。不僅可以發現 OWASP API Top10 等常見漏洞，還可以檢測非法字符串、超出范圍的參數數據、數據類型錯誤、空參數等引起 API 拒絕服務的問題并自動輸出相應測試報告。

易識固件供應鏈安全管理系統：面向二進制固件的自動化靜態分析工具。 支持十余種CPU 架構、60 多種固件格式，內置了 19 萬條漏洞信息，利用自研的 HBinSim-attention 算法有效解決了 CWE 識別低效和準確性不高的業界難題，能夠快速識別200+CWE 缺陷。在固件驗收測試和評測中，易識可以分析固件中的加密算法，識別明文用戶名密碼等敏感信息、開源組件及許可協議，查找固件中的 CVE/CNNVD 漏洞，挖掘 CWE 缺陷。幫助用戶識別固件中的安全風險和法律風險。

SCA 源代碼成分分析系統：面向源代碼的自動化靜態分析工具。從設計階段到發布階段，識別 CVE/CNNVD 安全漏洞，梳理研發過程中的軟件物料清單(SBOM)，解決開源治理過程中的安全和合規問題。使用自主研發的新一代指紋識別技術，支持 600 多種開發語言，通過構建識別、組件識別、文件識別和代碼片段識別技術，多維度識別引入的開源組件，單個文件掃描僅需 20ms；系統內置超過 2 萬億行開源代碼、1 億 2千萬組件信息、500 億文件信息、2000 多種許可證類型及 19 萬條漏洞信息。

技術能力方面，「安般科技」創新性地設計了一套支持異構引擎大規模并發測試的通用模糊測試框架 ABFuzz。該框架首次引入細粒度多引擎融合技術，能夠持續整合多種模糊測試引擎，共同提升模糊測試的效率和效果。其自主研發的通用模糊測試引擎ABFast，融合了符號執行和污點分析等相關程序分析技術，具備更強的路徑探索能力；同時，ABFast 的增強學習算法可以基于用戶以往的測試記錄進行自我強化，在使用過程中變的越來越“聰明”，更高效地發現被測程序的缺陷。在同等測試條件下，ABFast 比 AFL/AFL++引擎在缺陷發現數量方面提升 300%以上 ，在 LAVA-M 測試集上，測試效果同樣大幅超越其他開源引擎。

目前「安般科技」系列產品累計在數十個開源項目中找到上百個 0day 漏洞，例如近期對用戶數全球排名第一的免費開源關系型數據庫 MySQL，對其最新版本 8.0.27 版本進行 24 小時模糊測試，找到 17 個最高級別致命 0day 漏洞，包括斷言失敗、堆溢出和段錯誤等。

市場方面，「安般科技」以上?？偛繛橹行?，在北京、西安、成都等一、二線城市設有研發中心和分支機構，并擁有覆蓋全國的近百家合作伙伴網絡，累計服務過上百家政府軍工、信創軟件、工業控制、智能汽車等多領域客戶。目前「安般科技」與信創、汽車、軍工領域內多個權威機構成立聯合負面測試中心并參與制定了多個軟件安全及模糊測試相關的國家及行業標準。

團隊方面，「安般科技」創始成員起源于中國科學院和上?？萍即髮W，具有豐富的程序分析相關技術積淀。目前團隊規模近 100 人，其中 80%以上團隊成員為研發人員，主要來自中國科學院、中電科、摩托羅拉、騰訊等研究院所及企業的安全、測試和研究部門?！赴舶憧萍肌乖啻纬袚鷩铱萍疾慷囗椫卮笳n題研究，并于近期承接“十四五”國家重點研發計劃“網絡空間安全治理”中某涉密專項的核心課題研究。此外「安般科技」與四川大學信息安全研究所、中國工程物理研究院計算機應用研究所等單位已建立長期的產學研一體化合作。

最后，創始人汪毅告訴鎂客網，2022 年對安般來說是非常重要的一年，公司除了繼續深耕軍工和信創領域外還會加強布局金融和汽車行業。本輪融資資金將主要用于進一步提升技術壁壘、加速產品系列優化和垂直行業的規?；涞?、組建金融和汽車事業部以及提升品牌影響力等工作。

投資觀點

硅港資本

硅港資本創始合伙人何欣表示：“硅港資本非常榮幸可以領投安般科技。智能模糊測試技術應用十分廣泛，包括源代碼、API 接口、通訊協議、數據庫系統等。隨著汽車智能化、工業及基礎軟件國產化、強制測試的行業標準推廣等因素，智能模糊測試迎來行業爆發性機會。 安般科技是國內首家將智能模糊測試技術商業化的公司，旗下多款智能模糊測試工具已應用到了國防軍工、軟件測評中心、汽車、金融和信創等多個行業，幫助用戶大幅縮短開發周期，顯著優化產品質量。我們相信安般科技是基礎軟件領域的千里馬，肩負產業使命，為提升各行各業軟件產品質量保駕護航！”

東證創新投

東證創新投表示：“金融行業尤其是從事金融市場交易的機構最擔心的就是系統的死機宕機，哪怕是短時間的，對金融機構來說都是重大的生產安全事故，由此造成的經濟損失和聲譽損失都是無法估量的。 安般科技的智能模糊測試系列產品作為新一代的自動化負面測試工具，除了具有傳統測試方法的功能外，更可以發現軟件的缺陷和系統運行時的薄弱點，從而有效避免系統死機宕機所導致業務停擺的生產安全事故，準確地解決了金融行業、自動駕駛、航空航天和半導體芯片等對系統連續穩健運行有強烈需求的行業痛點，具有重大的革命性的經濟價值和戰略意義。 安般科技的智能模糊測試產品有效提升測試效率和降低測試成本；另一方面，也是測試敏捷化的有利支撐，通過測試左移與 DevOps 平臺無縫對接，提前在研發側解決系統漏洞和缺陷，這也提升了軟件研發效率。安般科技在模糊測試產品標準化落地方面也是領先于市場的，使用門檻較低，可以為軍工、能源、金融和汽車等各行業軟件研發機構賦能，構建質量門禁，提升軟件質量水平。”

名川資本

名川資本創始合伙人王求樂表示：“軟件代碼的復雜性正呈幾何級發展，單靠人工測試已無法解決軟件的功能性、穩定性和可靠性難題。安般產品的程序化和智能化的自動測試能力，極大地提高了軟件行業的測試效率，豐富了軟件研發流程，優化了代碼生產能力，為我國各行業軟件開發者提供了高質量的新選擇，填補了不少空白。名川資本深耕 2B 軟件賽道，投資了眾多高壁壘 2B 軟件，作為擁有近十年軟件系統調測經驗的老兵，安般幾乎是我投資生涯做決策時最無懸念的軟件企業。”

中南資本

中南資本董事長李人潔表示：“在軟件敏捷開發和安全左移的大背景下，企業亟需高效的全流程開發安全測試產品體系以保證軟件安全。安般專注于模糊測試領域，在打磨DevOps 全流程軟件測試系列產品的同時，已在大量頭部客戶中積累了成功案例及良好的口碑，對于我國軟件開發安全和軟件質量的提升具有深遠意義。 ”

最后，記得關注微信公眾號：鎂客網（im2maker），更多干貨在等你！