腾讯“白帽黑客”首夺世界总冠军 中国安全实力比肩苹果微软

本篇文章3173字，读完约8分钟

正在崛起的中国“白帽黑客”军团在加拿大温哥华举行的黑客世界杯上取得了辉煌的成就，创造了历史。在最近举行的pwn2own 2016黑客大赛上，代表中国的腾讯保安狙击队以总分38分的成绩获得了4个个人冠军和世界冠军，成为本次顶级大赛历史上第一位“世界破解大师”，也是中国第一个“白帽黑客”团登上世界之巅！

在科技领域，这是继谷歌阿尔法围棋(Google alpha go)围棋“人机大战”(Go Man-Machine War)之后的又一重大行业事件，标志着在“物联网”时代，以腾讯为代表的国内安全终于具备了世界级的能力水平，可以与苹果、微软、谷歌等世界顶尖科技巨头的安全实力相媲美。此外，这也证实了“白帽黑客”与腾讯一直在探索的产业链之间的反馈互动模式的正确性。

魅力背后是在中国每天工作16小时的“白帽黑客”圈子。武氏和陈亮在狙击小组的金字塔顶端。在不同的情况下，他们具有多维度和不同的身份角色:他们是挖掘安全漏洞和争夺系统控制权的“黑客”；在信息技术和智能产品的应用中，他们是狂热的“极客”；对整个安全产业链乃至it生态系统来说，他们是“苦行僧”和“守护神”。凭借日复一日、年复一年高于常人的毅力和智慧，他们不断发现各种系统和产品中的安全漏洞，并给予预警，使it厂商能够在第一时间堵塞漏洞，确保全社会it生态系统的安全运行。

在“白帽黑客”多重身份和外界认为酷的技术能力背后，是普通人无法理解的无聊生活。去年在温哥华赢得比赛后，当一些会员被媒体追逐时问及自己的感受时，他说:“附近那家餐厅的桂林米粉味道很好”，这让在场的人大吃一惊，感叹这些怪胎的生活真的可以理解。

更不可思议的是，他们都有一种难以想象的“道德清洁”。即使他们找到了一个可以在黑市上以100多万元出售的漏洞，他们也绝不会允许自己和团队中的其他成员染指这些非法利益。他们专注于发现和提交安全漏洞，更多的是为了证明他们有能力保护整个it产业链和用户免受黑行业的侵害。

令外界惊讶的是，在狙击队赢得2016年pwn2own比赛后，整个队伍做的第一件事不是狂欢庆祝，而是集体回到房间睡了十多个小时。对此，他们解释说:“pwn2own的竞争是一个示范，其核心是表明我们已经发现并掌握了核心漏洞。”为了找到漏洞，我们必须在比赛前不断地战斗，永远不要睡觉去发现它们。几个月来，舞台上数十秒钟的成功展示落后于每天十五或六小时的工作。即使在春节期间，也没有休息日，而且精力透支太大，所以比赛结束后需要时间恢复。”

照片:腾讯副总裁丁可与狙击小组合影

在过去的几年里，这个顶级团队发现了常见软件的安全漏洞，如操作系统，包括浏览器。如今，随着智能工业、汽车联网和可穿戴设备等新产品的开发，他们的目标已经完全扩展到整个智能物联网。从著名的特斯拉汽车到医疗数据库的子专业行业领域...只要它与“0”和“1”相关，您就可以看到它们。

吴石直言，团队之所以如此努力，是想通过自己的努力提醒大家:在移动互联网时代，安全漏洞可能存在于每一款产品中，他们希望在被黑产业链中的恶意者发现之前，找到漏洞并提供给厂商进行更新，从而最大限度地避免对用户造成伤害。

腾讯安全与“白帽黑客”探索有效互动模式。虽然这些“白帽黑客”在圈内和圈外都很有名，但他们也为中国安全赢得了世界顶级安全领域的一席之地。然而，理想是丰满而现实的。他们在现实中仍然感到尴尬。

此前，他们希望举办中国自己的pwn2own竞赛，但由于海外制造商推迟赞助，该竞赛几乎流产。此外，他们希望从长远角度探索和培养新人，而许多制造商更关心短期利益。

在腾讯的安全团队联系了它之后，尴尬的局面被改变了。腾讯不仅为比赛提供赞助，还在设备、人力和产业资源方面提供全方位的帮助。就在今年年初，吴氏团队正式加入腾讯安全，成立了科恩实验室；腾讯为实验室提供了足够的空空间和资源支持，使Wu Shi团队能够专注于云计算和移动终端安全的研究工作。

过去，吴士会以自己的人际关系和实力，积极推动更多新面孔进入国际赛事，如pwn2own。如今，腾讯通过与全球安全机构和行业合作伙伴的合作，积极为“白帽黑客”提供更多机会。”:另一方面，如果一些“白帽黑客”愿意在腾讯的安全团队工作，腾讯会给他们开绿灯，欢迎他们，并在福利和工作资源方面给予他们优厚的待遇，以此来给予这些“白帽黑客”充分的尊重和理解。

“随着移动互联网的浪潮，用户每天都要接触到大量的智能产品。一旦他们的漏洞被攻击者利用，其危害将比以前更大，从隐私泄露到财产和人身安全。腾讯对“白帽黑客”给予了足够的支持，可以获得更多的反馈帮助，提高产品安全能力，更大程度上保护用户的网络安全。”腾讯安全部门负责人陈亮直言不讳。

事实上，腾讯的安全团队正在围绕安全技术、大数据和安全能力三个支点，构建一个连接政府、金融机构、电子商务、运营商、安全企业等各方的闭环，这与“白帽黑客”所追求的泛安全理念不谋而合。

在国内安全行业，过去由于各种原因，出现了许多分散的“白帽黑客”团队和派系。谈到个人的单手技能，他们并不比海外同行差。然而，长期以来，他们往往在团队合作方面留下“支离破碎的沙子”的印象。两年来，腾讯不仅加强了与吴诗等资深大师的合作，还不断加强与其他大师的合作。到目前为止，大厅级别的高手如葛源和tk大师已经成为腾讯安全团队的成员。他们的加入不断充实了腾讯的安全技术积累，同时也给原来的“白帽子黑客”带来了头脑风暴，达到了事半功倍的效果。

正因为双方对中国安全产业链的许多想法高度一致，所以虽然双方仅尝试合作了两年左右，但已经形成了一种有效的互动模式——“白帽黑客”(White Hacker)帮助腾讯发现日常生活中的产品漏洞，并反馈腾讯的相关产品和服务，而腾讯则以永远开放安全能力的理念，与整个安全产业链的上下游合作伙伴一起拦截安全漏洞。

中国的安全实力堪比谷歌、苹果和微软。除了行业互动和反馈外，“白帽黑客”还将派专家与腾讯安全团队成员组成狙击小组，参与pwn2own竞争，向国际顶尖团队学习提高自身能力，同时使国际安全会议重新认识到中国安全能力的实质性提高。

狙击手团队汇集了中国顶尖的安全人才，为谷歌、微软、苹果和其他公司的流行软件提供了数百个严重的安全漏洞。《福布斯》杂志评论说，“发现的漏洞是苹果整个安全团队的两倍多”，他们发现的大多数漏洞都是高风险漏洞。

有一段时间，微软到处询问这个团队，因为他们发现漏洞的效率，甚至微软负责安全的工程师都感到羞愧。为了表达团队的重要性，特斯拉甚至向团队成员颁发奖牌，感谢他们为挖掘汽车安全漏洞所做的贡献。这也在一定程度上证实了团队实力已经及时达到了最高水平。

这些安全漏洞的影响有多大？狙击手小组成员陈亮说:“制作木马程序相当于抢劫收银台。”在系统中找到一个核心漏洞就相当于打开了银行保险库的大门。”据报道，如果狙击小组掌握的系统漏洞泄露出去，他们可能会在黑市上以1000万元的价格被拍卖。即使是最常见的漏洞也可以用数百万元买到。因为，业内人士都知道，只要这些漏洞被黑色产业利用，就会造成不可估量的产业冲击和经济损失。

近年来，腾讯安全除了不断邀请顶级“白帽黑客”来提升自身核心安全能力外，还在整个安全产业链的上下游不断整合联恒的开放合作理念:比如腾讯加入银行，认识于闯。五云平台、联想等合作伙伴建立了“移动支付安全联合守护计划”；腾讯移动管理器与中国几家主要的商业wi-fi服务提供商联合成立了“腾讯安全wi-fi联盟”，提供安全免费的wi-fi服务接入规范；腾讯参与了由警方牵头的“世界无贼反欺诈安全联盟”。无论是底层系统基础设施、顶层云服务，还是终端智能终端应用，腾讯都在互联网上逐步构建一个丰富的安全生态系统，其核心技术能力与谷歌、苹果和微软等国际巨头处于同一水平。