這群白帽黑客,是網絡世界的守夜人 ​

原創 最人物出品 最人物

這是在網絡世界，聰明的頭腦之間，關於智慧、毅力、勇氣的戰鬥。

一方是堅固的盾，一方是銳利的矛。數以億計的代碼中，他們尋找著一絲破綻，難度堪比大海撈針。

一絲破綻令多少人趨之若鶩，又讓多少人奮不顧身。但每一個接受採訪的人，都說起了兩個詞：熱愛與追求。

信息安全，白帽黑客……明明它與每個人都息息相關，卻從不被普通人了解。但戰鬥，往往就這麼悄無聲息地打響了。

故事，是從一場比賽開始的。

2020年11月，成都，天氣微涼，天府之國染上秋黃，從全國各地趕來的信息安全工程師，擠滿了西博城的會議大廳。

來成都前，螞蟻安全光年實驗室的負責人曲和，發了條朋友圈：又一趟成都之行。配圖，是一張「巴斯光年」動漫形象，實驗室名字的靈感來源。

這是曲和第三次參加「天府杯」國際網絡安全大賽了。2018年，光年實驗室成立第三年，他和夥伴就在首屆「天府杯」上，依靠找出多款國產手機的安全漏洞，讓實驗室初露鋒芒。

又是一年，他期待團隊有更大飛躍。飛機落地的那一刻，他既忐忑又興奮。

天府杯，是具有世界級水準的網際網路安全大賽，號稱中國自己的「Pwn2Own」（全世界最著名、獎金最豐厚的黑客大賽）。

每一年，中國的頭部網際網路公司、信息安全公司、中科院等科研機構，都有多支隊伍參賽，如同一場網際網路安全領域的奧林匹克比賽。

大賽設置了高達100萬美元（約660萬人民幣）的獎金，其中90%的獎金，都用於尋找產品漏洞的破解賽。

這無疑是一種更網際網路的方式：廣納集體的智慧，來尋找系統或應用相關的漏洞，更好地保障網際網路安全。

那些我們熟悉的設備，或是常用的軟體，賽場之上，都會被一一公開演示破解。隨後，破解使用的漏洞和攻擊代碼，都會直接提交給廠商，幫助修復產品。

這場比賽並非為了單純的炫技：找到的潛藏漏洞越多，就意味危險越少，系統也能更安全。

11月7日，天府杯拉開序幕。光年實驗室的首個項目，是尋找蘋果Safari瀏覽器的安全漏洞。

Safari瀏覽器的安全等級極高，行業內一直鮮有人能發現它的嚴重漏洞。

因此，當光年實驗室的棧長跟劉龍出現在比賽臺上時，他們身上很快匯集了全場目光。

兩個月的準備，決定勝負的只有幾秒鐘，如同一場劍客的對決。

他們走上舞臺，打開電腦，用Safari瀏覽器點開那條準備好的連結。一切快到很多人反應不過來，而遠程的操作者，已經可以操控電腦！

現場響起熱烈的掌聲，曲和一直懸著的心，也稍微放了下來。

很多人露出驚訝的表情，但更大的挑戰，還在後面。

第二天，光年實驗室的菜絲登場。他的目標，是蘋果iPhone 11 pro的漏洞。這個90後想達到的效果，是用手機瀏覽器打開一條準備好的連結，就能實現iPhone手機遠程代碼執行。

登場前，即便有十足的把握，但菜絲仍十分緊張。

第一次嘗試，他們失敗了，原因是當時場館內的無線網絡，並沒有連接公網。一個小插曲，卻讓整個團隊都一身冷汗。

稍作調整後，菜絲重新嘗試，數秒的時間，這部iPhone手機的大部分權限，便已被控制，全場一陣驚呼。

據曲和介紹，這是個「骨灰級」的漏洞，在11年前的蘋果系統就已存在，可以說 「從賈伯斯傳到了庫克」。這一天，卻被這個年輕的團隊所發現。

這一操作，讓光年實驗室拿下全場最具價值產品突破獎，這是本屆比賽含金量最高、獎金最多的項目，獎金高達18萬美元。

幾秒鐘的高光時刻背後，是長達數年的默默積累。

菜絲（右）

對於曲和、菜絲等人來說，他們有一個更為人熟知的名稱——白帽黑客。

在網絡世界，黑帽黑客就像是矛，利用系統或軟體的漏洞，非法入侵並獲取利益。白帽黑客則如同盾，他們懂黑客技術，選擇用技術來保護網絡安全。

發現漏洞後，他們會將所有成果提供給相關公司，以此幫助他們完善產品。

這是一個距離公眾很近，卻又往往不被人知的寂靜之地。

2020年1月，一條「韓國多名藝人手機被黑並遭勒索」的新聞，就衝上了微博熱搜。

黑客利用的，很可能就是某個系統漏洞，非法獲得簡訊、照片、視頻等私人信息…進而恐嚇要挾，索要巨額贖金。

此類事件，不只發生在國外。今年8月，浙江新昌縣法院審理判決了一個侵犯公民個人信息的案件。

警方偵查發現，近330萬臺老年機被植入木馬，截獲驗證碼500餘萬條，犯罪分子將信息賣入黑市，獲利近800萬元。

更駭人聽聞的是，那些獲取個人信息的方式，甚至可以讓你毫無感知。而非法控制手機的手段，僅僅是你隨手點入的一條連結。

與邪惡作戰，讓網絡黑產無漏洞可鑽，是白帽黑客的目標和興趣。

光年實驗室的菜絲，就是中國白帽黑客的一個代表。他很年輕，才28歲，卻已鑽研黑客技術12年了。

進入信息安全領域，菜絲憑藉的完全是興趣。2008年，16歲的菜絲，就對計算機技術產生了濃厚的興趣。當時，他將系統攻防的一些思路，分享給一個廠商，獲得了一件小禮物。而所有獲獎的人中，他是最小的一個。

信息安全的種子，就這樣種在他的心裡。9年後，加入螞蟻安全光年實驗室，年少老成的他，迅速展露出在信息安全領域的才華。

實驗室能一舉發現iPhone 11 Pro手機系統的漏洞，就是基於他的研究成果。

菜絲在展示破解後的iPhone

而在這個12人的小小實驗室，菜絲也很高興，遇到了更多志趣相投的小夥伴。比如愛講冷笑話的鶩望。

天府杯上，鶩望捕獲漏洞的目標，是Adobe PDF Reader。這是一款幾乎所有電腦都會用到的軟體，一旦漏洞被黑客利用，後果不堪設想。

為了走在黑客前面，幾個月的時間裡，鶩望做了幾萬次的測試，才能確保順利地發現Adobe PDF Reader的漏洞。

比賽之外，鶩望和同事們，也不斷將研究的目標，拓展到更多的常用軟體——大家最常用的Word、Excel、Adobe……

鶩望

這些漏洞的發現，能更好幫助網際網路公司，提高產品安全性。也正因為這樣，成立4年來，菜絲和鶩望所在的團隊，被谷歌、蘋果、微軟等多家科技巨頭公司公開致謝。

特別是2020年以來，光年實驗室被蘋果公司公開致謝了35次，位列全球首位。

光年實驗室的起點，源於2016年曲和的一個意外發現。

那時，他剛來到螞蟻集團，工作職責只是保障支付寶APP的安全。但隨著工作的深入，年底時，他發現了一個足以影響整個手機行業的漏洞。

那是一個僅需幾行代碼，就能在大部分國產手機實現權限提升，竊取用戶個人隱私的漏洞。

這個發現，連他自己都驚訝不已。隨後，也被CNVD（國家信息安全漏洞共享平臺）評選為2016年度最有價值漏洞。

能力越大，責任也就越大，也是在這個階段，螞蟻內部產生了成立實驗室的想法。

「不僅是保障支付寶自身產品的安全，我們也想站在整個網際網路安全的層面，為中國的網絡安全，做更多的一些貢獻。」曲和回憶。

曲和

2011年就進入信息安全領域的曲和，也見證了中國網際網路的變遷。從最開始備受病毒困擾的PC系統，到移動網際網路時代的安卓與iOS系統，他始終站在網際網路安全的第一戰線。

近10年過去，他最大的感慨，是要耐得住寂寞：「你可能很長時間，都沒有突破性的成果，但一定要有信念，相信一定能成。」

成立實驗室，曲和面對的第一個難題，是招聘。

熱鬧的網際網路，相比程式設計師敲下代碼，就能完成產品。做白帽黑客，難度高，成效慢，往往研究半年，最終一無所獲。

最需要的是耐心與耐力。所以願意選擇這行的年輕人，少之又少。

更為重要的，是善惡觀。一個漏洞的發現，往往伴隨著巨大的利益，黑白之間，只是一瞬間的取捨。

所以做白帽黑客，必須能經得住誘惑，與團隊價值觀保持一致，走在正確的道路上。

曲和在招聘時，對一個人的觀察，也往往長達一年。正因如此，4年了，他的團隊也就12個人。

光年實驗室部分小夥伴合影

如今回憶，曲和最記憶猶新的，是2018年年底。光年實驗室陷入低谷的一段時間。

從事底層的基礎系統研究，是一個很難快速出成果的工作。那段時間，團隊小有成績，但繼續往上走，卻又面臨不小的挑戰。

「就像一個圍棋選手，段位越高，越往越高處去，就會越難。」

很長一段時間，沒有突破性成果，四面八方的質疑聲，便接連而生。看著身邊做業務的小夥伴成績頻出，辦公室裡的氣氛，慢慢有了變化。

曲和的壓力也來自於此：「公司不像大學，除了仰望星空，還要腳踏實地。」一直沒有成果，還值不值得繼續做？很多人打了個問號。

困難時刻，讓曲和最感動的，是團隊小夥伴的堅持，「這種情況下，大家還能堅定地一路往前走，非常不容易」。

這種堅持，源於熱愛，也源於面對無數代碼時，所磨練出的一份耐心。

接受最人物採訪時，無論是菜絲、鶩望、還是曲和，他們提到最多的，都是對這份工作的敬畏。他們總相信，能沉下心，自有回聲。

隨後幾年，他們所取得的成績，就是這回聲。曲和說，就像長跑，熬過了極點，就能更坦然平靜，後面的路也就好走了。

當然，在曲和看來，支撐著大伙兒走到現在的，除了死磕系統漏洞的執拗。還有身邊可愛的夥伴。

發現iPhone 11 pro漏洞的菜絲，高冷，個性，還特別喜歡Rap，喜歡吐槽。與普通人相比，他的思維更活躍，想法也更清奇。

問他為什麼給自己取「菜絲」的花名。他說：「就像二狗子，這樣名字的小孩，比較好養活。」

看似沉默、總躲在角落的鶩望，其實很冷幽默。問他為什麼加入螞蟻，他的回答和像流川楓加入湘北中學一樣——因為公司離家近。

他總說自己不是典型的程式設計師，「我們加班並不嚴重，我的頭髮也很多」。他還有一個愛他的女朋友，不過也有一些甜膩的煩惱——

「程序好控制，女朋友不好控制，經常灰頭土臉的。」

問他給女朋友挑過什麼bug時，他很有求生欲：「不好說，如果發出去會被追殺，感覺這會破壞和諧生活。」

作為實驗室的負責人，曲和本人更穩重一些。過去，他愛打羽毛球；有了孩子後，一切的愛好，都變成了關注孩子。

他把這稱為「一個爸爸的自我修養」。

天府杯結束後，一個階段的緊張也結束了，曲和帶著團隊聚了幾次，頓頓大餐。

但隨後，他們又恢復了繁忙的工作狀態。

今天的網際網路，每一刻都在變化。而安全問題，已不是一家公司就能獨自解決。它更像一場互聯世界的聯盟之戰，需要人們時刻警惕，也時刻協作。

在曲和看來，支付寶、淘寶等應用程式，就像是高速公路上的車輛。安卓、iOS、Windows等系統，就像是承載無數應用的高速公路。

車輛或車道，彼此的安全都關聯著，組成了一個生態。「所有的參與方，都應該貢獻自己的一份力量，來保障整個生態的安全。」

黑白之間的戰鬥會繼續，每一個系統漏洞雖小，背後卻是不應該被忽視的人。光年實驗室挖掘漏洞的能力，也能應用到螞蟻的眾多基礎設施上，從源頭更好地保護生態和用戶的安全。

曲和還記得，成都的比賽結束，他走出場館，過去數年的故事，一幕幕出現在腦海裡。酸甜苦辣都回憶過一遍，他提得最多的，卻是「有趣」。

做白帽黑客，或許沒什麼特殊，也不一定就該贏得更多的掌聲。如果說有什麼值得高興的，就在於「這是一份有趣的工作」。

這份工作，需要永遠站在浪潮之上、永遠擁抱變化。從電腦到手機，從安卓到蘋果，從少數人的奢侈，到數十億人擁抱的網際網路……

作為白帽黑客，見證了科技的飛奔，自己也需要不斷飛奔，不斷學習，就像一群沉默的守夜人，日夜巡邏，守護著普通人的信息安全。

曲和說：「感覺整個過程還是蠻有趣的，蠻精彩的一段經歷。」