腾讯白帽黑客首夺世界冠军 中国安全实力比肩苹果微软

导读：日益崛起的中国“白帽黑客”军团，在加拿大温哥华的“黑客世界杯”上以酣畅淋漓地成绩创造历史。

日益崛起的中国“白帽黑客”军团，在加拿大温哥华的“黑客世界杯”上以酣畅淋漓地成绩创造历史。在日前的Pwn2Own 2016黑客大赛上，代表中国出征的腾讯安全Sniper战队拿下4场比赛单项冠军，共获得38分满分夺得世界冠军头衔，成为这一顶级赛事史上第一个“世界破解大师”，也是中国“白帽黑客”军团首登世界之巅！

在科技领域，这是近期继谷歌Alpha Go的围棋“人机大战”后又一业界大事，标志着在“万物互联”的物联网时代，以腾讯为代表的国内安全，终于拥有了世界一流的能力水准，能够比肩苹果、微软、谷歌等世界顶级科技巨头的安全实力越的地位。此外，这也印证了腾讯一直摸索的“白帽黑客”与产业链之间的反哺互动模式的正确性。

光鲜背后是每天工作16小时

在国内“白帽黑客”圈，Sniper战队中的吴石、陈良等均位列圈子金字塔尖之列。在不同情境下，他们拥有多维度的不同身份角色：在挖掘安全漏洞争夺系统控制权上，他们是“黑客”；在对IT和智能产品的应用上，他们是发烧的“极客”；在对整个安全产业链乃至IT生态圈而说，他们是“苦行僧”、和“守护神”，以自己日复一日，年复一年的坚毅和高出常人的智力，不断找出各个系统和产品中的安全漏洞并进行预警，让IT厂商可以第一时间封堵漏洞，保证了整个社会的IT生态安全运行。

在“白帽黑客”多重身份和外界认为酷毙的技术能力背后，是常人难以理解的枯燥生活。在去年在温哥华参赛获胜后，有成员面对媒体围追堵截问其感受时候，他就说了一句“这里附近的那家餐馆的桂林米粉味道不错”，让在场人士目瞪口呆，慨叹这些极客的生活实在非常人所能理解。

更令人难以想象的是他们都有着超乎想象的“道德洁癖”，纵然发现一个漏洞可以在黑市上卖过百万元，但他们绝不允许自己和团队其他成员染指这些不法利益，他们穷其心志在发掘和提交安全漏洞上，更多是为了证明自己有保护整个IT产业链和用户不受黑产业侵害的能力。

让外界非常意外的是，Sniper战队在Pwn2Own 2016大赛完胜夺标后，整个团队做的第一件事不是狂欢庆祝，而是集体回房间补眠十几个小时。对此，他们解释称：“Pwn2Own的比赛就是个演示，核心是说明我们发现掌握了核心漏洞。而要发现漏洞，就必须在比赛之前连续作战，不眠不休去发掘。台上几十秒钟的成功展示，背后是几个月每天工作十五六个小时，甚至在春节期间也没有休息一天，精力透支过于厉害，所以比赛以后需要时间恢复。”

腾讯副总裁丁柯与Sniper战队合影

过去几年，这支顶尖团队已经发掘出操作系统、包括浏览器等常用软件的安全漏洞，如今，随着智能产业、车联网、可穿戴设备等新品的发展，他们的目标已经全面扩展到整个智能物联网的安全漏洞发掘上，从人人皆知的特斯拉汽车，到细分专业行业领域的医疗数据库……只要是跟“0”和“1”相关的IT领域，就可以看到他们的发掘尝试。
吴石直言，团队之所以这么拼，是因为他们希望通过他们的努力不断的提醒大家：在移动互联网时代，安全的漏洞可能存在于每一个产品上，他们希望在没有被黑色产业链的恶意者发现之前，将漏洞找到提供给厂商更新补上，最大限度避免对用户产生的危害。

腾讯安全与“白帽黑客”摸索有效互动模式

尽管这群“白帽黑客”在圈内外声名显赫，也为中国安全在世界顶级安全领域赢得了一席之地。然而理想丰满，现实骨感。他们在现实的处境依然困窘尴尬。

此前，他们想举办中国自己的Pwn2Own大赛，却因为海外大厂商迟迟不肯赞助几乎令大赛流产。此外，他们希望从长远角度考虑不断发掘和培养新人，而不少厂商更多的是在意短期利益。

而在腾讯安全团队与其接触后，困窘状况才得以改观。腾讯不仅提供了比赛赞助，还在设备，人力，产业资源上予以了全方位协助。就在今年年初，吴石团队正式加盟腾讯安全，并成立了科恩实验室；腾讯给予实验室充分的空间和资源支持，这样吴石团队可以专注于云计算与移动终端安全的研究工作。

过去，吴石会凭个人的关系和力量，积极把更多新面孔推到Pwn2Own等国际赛事上，如今，腾讯一方面通过自己与全球安全机构和产业伙伴的合作关系，主动为更多的“白帽黑客”提供更多在国际舞台亮相和交流的机会；另一方面，如果“白帽黑客”中有人愿意进入腾讯安全团队工作，腾讯方面也大开绿灯予以欢迎，在福利以及工作资源上均给于厚遇，为的是给于这些“白帽黑客”充分的尊重和理解。

“伴随着移动互联网的浪潮，用户每天都会接触到大量智能产品，一旦其漏洞被攻击者利用，危害远胜于从前，轻则隐私泄露，重则导致财产、人身安全。腾讯给于‘白帽黑客’足够的支持，可以获得更多的反哺帮助，提升产品的安全能力，更大限度保障广大用户的网络安全。”腾讯安全联队负责人陈良直言称。

事实上，围绕安全技术、大数据、安全能力三个支点，腾讯安全团队正在构建一个连接连接政府、金融机构、电子商务、运营商、安全企业等各方的闭环，这与“白帽黑客”所追求的泛安全理念亦不谋而合。

在国内的安全行业中，过去由于各种原因，“白帽黑客”存在着许多零散的团队和派系，论个人的单打独斗技术，都不输海外同行，但长期以来在团队合力上往往让海外同行留下“一盘散沙”的印象。这两年以来，腾讯除了加强跟吴石等前辈级高手合作以外，也不断加强与其他高手的合作，迄今，像yuange、TK教主等殿堂级高手，都已经成为腾讯安全团队中的一员，他们的加盟，不断加厚了腾讯在安全技术上的积累，同时也为原有的“白帽黑客”带来了脑力激荡，取得了事半功倍的效果。

正是由于双方都在对待中国安全产业链的诸多理念想法上高度一致，因此尽管双方尝试合作才两年左右，但已经形成了一个有效的互动模式——“白帽黑客”在日常帮助腾讯发掘产品漏洞，对腾讯的相关产品和服务进行安全反哺，腾讯则以其一直开放安全能力的理念，及时与整个安全产业链的上下游合作伙伴一起堵截安全漏洞。

中国安全实力比肩谷歌苹果微软

除了产业互动反哺外，“白帽黑客”们还会派出高手与腾讯安全团队成员一起组成Sniper战队，参与Pwn2Own大赛，通过与国际顶尖团队的切磋，提升自身能力同时让国际安全届重新认知中国安全能力的大幅提升。

汇集了国内安全届顶尖人才的Sniper战队，已为谷歌、微软、苹果等公司的流行软件提供了数百个严重安全漏洞的挖掘成果，《福布斯》杂志评价“发现的漏洞是苹果整个安全团队的两倍还多”，他们发现的漏洞大多为高危漏洞。
微软曾经一度到处打听这个团队，因为他们发掘漏洞的效率连微软内部负责安全的工程师也汗颜不已。为了表达对战队的重视，特斯拉甚至专门为战队成员颁发了奖章，感谢其对挖掘汽车安全漏洞的贡献。这也在一定程度上印证团队实力已经比肩时间顶尖水准。

这些安全漏洞的影响到底有多大？Sniper战队队员陈良比喻称：“制作一个木马程序相当于打劫了一个收银台，发现一个系统核心漏洞就相当于打开了银行金库的大门。”据悉，Sniper战队所掌握的系统漏洞如果泄漏出去，可能会在黑市中被拍卖出千万元级别的天价，即使是最普通的漏洞，也能有人愿意拿百万元的资金购买。因为，行业内都知道，只要这些漏洞被黑产业利用，就会造成难以估算的行业影响和经济损失。

近年来，腾讯安全除了不断力邀顶尖“白帽黑客”提升核心安全能力外，还在整个安产业链态链上下游不断以开放和合作的理念合纵连横：如腾讯已经联合银行、知道创宇、乌云平台、联想等合作伙伴，成立“移动支付安全联合守护计划”;腾讯手机管家与国内几大商业Wi-Fi服务提供商共同成立“腾讯安全Wi-Fi联盟”，提供安全免费Wi-Fi的服务接入规范；腾讯参与了由警方牵头的“天下无贼反诈骗安全联盟”等。无论是最底层的系统基础架构，还是最上层的云端服务，又或最末端的智能终端应用，腾讯正逐步构建出一个丰富的互联网+安全生态圈，其拥有的核心技术能力已与谷歌、苹果和微软等国际巨头位列同一水平线。