系统有漏洞，杀毒软件可以防，如果杀毒软件有漏洞谁来防呢？对此，谷歌安全团队多次呼吁杀毒厂商为引擎加入沙箱保护。但是由于沙箱和杀毒软件自身功能、架构有冲突，因此，沙箱问题已成为全球网络安全行业共同面临的难题。
　　今年1月，安全厂商360发布消息称首次成功实现了杀毒扫描的沙箱保护——360杀毒和安全卫士的最新版本，为QEX安全引擎加入沙箱隔离防护机制。当用户下载文件进行安全检测时，QEX引擎对文件的扫描过程会在沙箱中执行，可以避免黑客利用杀毒软件漏洞实施攻击。这是360在首创云查杀、云安全主动防御、人工智能引擎等技术变革之后，再次领先的尝试。
　　杀毒软件能够清除已知的威胁计算机安全的木马、病毒等有害程序，但因为杀毒软件需要分析所有系统上的复杂文件，所以本身也成为很容易受攻击的攻击面。
　　在2015年的POC安全大会上，360VulcanTeam首次披露了一种针对微软自带的杀毒软件 WindowsDefender扫描引擎的攻击形式，利用WindowsDefender的安全漏洞，攻击者能够突破 Edge浏览器并攻破Win10系统。这也是历史上首次公开的利用杀毒引擎漏洞攻击，突破系统权限限制的案例。
　　此后的2017年，GoogleProjectZero也披露了多个WindowsDefend－er扫描引擎的安全漏洞，一旦杀毒软件的安全漏洞被黑客掌握，只要用户下载文件并进行安全扫描，黑客就能通过这些漏洞控制用户电脑。
　　杀毒软件作为安全守护者，具有比普通软件更高的系统权限，下载扫描作为安全软件查杀恶意程序的必要步骤，一旦这一流程被攻击，相当于直接给了攻击者打开电脑中枢系统的钥匙。
　　为防止更多利用杀软自身问题攻击系统的威胁出现，谷歌安全团队的研究人员认为，杀毒软件应当学习计算机与浏览器等程序，将扫描引擎放入沙箱。沙箱是一种限制程序行为的虚拟执行环境，计算机与浏览器等程序的操作都会在这个虚拟的程序中运行，在其内部运行的程序并不能对硬盘产生永久性的影响，可用以测试不受信任的应用程序或上网行为。但是将扫描引擎加入沙箱与自身功能、架构有所冲突，实现难度极高，此前未有杀毒软件成功实现扫描引擎放入沙箱。
　　360独创的QEX安全引擎，能够基于文件格式解析、使用动静态特征匹配/动静态启发式检测算法，有效准确识别脚本、文档等格式的恶意文件。QEX引擎的扫描过程放入沙箱，相当于把最容易被攻击的文件下载检测环节保护起来，既保证了系统的稳定性，又实现了对沙箱的有效使用，从而避免毒软件自身变为黑客攻击的源头。
　　360此次实现杀毒扫描引擎与沙箱机制的结合，降低了杀毒扫描引擎利用自身问题攻击系统的几率，也开创了杀毒引擎加入安全保护机制的先例。 （武晓黎）