2017年5月12日，云顶梦号邮轮从香港启德码头徐徐起航，预示着2017年“极棒”黑客大赛年中赛拉开战幕。今年的赛场，哪些智能软件被“白帽黑客”找到了漏洞？它们会被攻破吗？会造成什么危害？会出现让人们意想不到的选手吗？

女黑客TYY：秒破四款共享单车

TYY：“共享单车最近不是比较火吗，那我就想看一下，它有没有可以改进的

地方，给你演示一下，我现在用他的账户来骑车。“

通过在电脑上的简单操作，很快两部手机上的用户信息便同步了。

记者：你发现几个品牌的单车是这样？

TYY：4个。

“最近刚上映的《速度与激情8》里面的两个黑客妹子，很厉害的。“在上海某公司当程序员的TYY在近半年开始迷上做黑客。

作为本次极棒赛场上唯一的女黑客，几个月来她对共享单车的安全性进行了研究。利用程序漏洞，TYY可以直接从共享单车平台获取用户资料，盗刷账户信息。“我能知道他家在哪里，公司在哪里，常去的地方有哪些，推断出他的个人习惯，生活习惯之类的。”在现场成功破解共享单车之后，她接下去将向组委会披露漏洞的详细信息。按照比赛规则，她发现的共享单车的漏洞，将被无偿提供给相应厂商，并对其漏洞修补提供技术支持。

TYY称自己研究共享单车的漏洞，一方面是想促进厂商把产品做好，更好地让消费者来使用他们的产品。另一方面就是保护消费者的个人利益，包括他们的账户以及个人隐私。“如果用黑客技术做坏事了肯定就是破坏者，攻击者，但是如果为了让建设者能够更好地建设的话，那你也是贡献者。“

说到平时的工作，TYY觉得二者是相关的，一个是正向，设计和开发程序；一个是逆向，找出程序中的漏洞。TYY学习黑客技术后，发现对自己的工作帮助很大，她可以通过找漏洞的方式去构建程序，“想得更全面了，就是知己知彼。“

X-Team负责人黄正：入侵小子化身安全卫士

破解智能门锁也是今年“极棒”年中赛的项目之一。智能门锁的主体客户定位是长短租、客栈、酒店、公寓这类的集团客户，它能通过后台集中管理，对旗下房源动态监控，实现预约、入住、退房、保洁全程自助化。在带来便捷的同时，隐形的危险也伴随其间。

“我只需要在他家门锁的外面扫一下这个wifi，就能知道这个锁的密码是什么。”黄正，百度安全实验室X-Team负责人，2016年微软公布的贡献排行榜中他位列第八名。

高中时，黄正便通过自学进入了黑客行列，他成为黑客的起因是游戏账号被盗，“很好奇我的号为什么会被别人盗掉，就去网上找各种资料去学习，然后发现这个世界原来还有这样的一种玩法。”在意外认知这一技能后，黄正脑洞大开，他甚至发现可以入侵一个网吧的服务器，给自己加会员卡。

从高中开始便混迹在各种黑客论坛的黄正，十几年前，在高考填报志愿时，依然陷入了纠结。”我没有选信息安全专业，因为当时关于网络犯罪的法律应该是不健全的，这个专业在未来四年很有可能会受法律的监管，我到毕业的时候我就找不到工作。”

选择学习微电子专业的他，最终还是因兴趣所在，成了一名白帽子黑客。“我自己有很强烈的好奇心，我想摸索清楚，这世界上我不了解的各个领域我都想去探索。”他从大三末开始在百度实习，把他的一些黑客技术应用到百度的搜索和推广上面，来帮助百度解决一些安全方面的问题。

2016年微软公布的贡献排行榜中黄正位列第八名，在整个亚洲区排名第一。“我看到这个排名当然是很激动，我协助了这样一个全球大的品牌修复了多少个漏洞，这个对安全的工作人员来说，是一种无形资产，是一种非常非常有价值的，能证明自己有能力的一种东西。”

随着互联网的蓬勃发展，网络世界的各种诱惑也逐渐扩大，在巨额的利益诱惑下，不断有黑客入侵的新闻被媒体报道出来。在谈及如何坚守的问题上，黄正说：“这个世界上除了钱以外还有更高的这个情怀在里面。“

清华大学网络与信息安全实验室主任段海新：“我们之所以当初搞了很多活动，特别是以学生为参加对象的活动，主要是想这些人能够在这个环境里面得到认可，他同样的技术如果没有在这地方得到认可的话，也许别的地方就把他给拉走了。比如说我看到的很多网站上，就直接写底薪50万，直接去做黑产了。我觉得大家如果能够在一个正面的渠道里面有自己的成就感，就不会涉足那个领域里面，我为什么要碰那些能让你身败名裂的东西呢？”

莲花战队：技术过硬的大学生黑客团队

每年“极棒”大赛的赛场上出现的，绝大多数都是年轻的身影。今年5月份，有两组年轻参赛选手在“极棒”成功挑战路由器项目，一组来自韩国，一组来自中国的清华大学。

为了培养信息安全方面的新生力量，韩国自2012年开始实施BOB优中选优计划，仅仅4年，就打造出一支黑客团队DEFKOR。这支队伍迅速在世界著名的黑客大赛DEFCONCTF中夺冠。

DEFCON CTF是全球网络安全领域最知名影响最广的比赛，历史悠久，迄今已举办22届，被誉为全球黑客的“世界杯”。

清华大学的蓝莲花战队，自2013年成为亚洲首支闯入DEFCON总决赛的战队，每年不断地刷新在DEFCON CTF总决赛上的成绩。

在争夺参加今年极棒比赛入场券的两个月中，蓝莲花战队的同学们还在准备挑战DEFCON CTF的入场券。他们和其它联赛的主力队员联合组成了Tea 

Deliverers战队，经过48小时的激烈竞争，他们最终在在86个国家的1269支队伍中脱颖而出，一举拿下入场券。

“清华以前是没有很多活动，近几年安全的热门程度越来越高，大家就会更加了解，更多的人来关注。”互联网及信息安全产业的发展、对网络安全人才的渴求，使得培养和储备网络安全人才越来越重要，十年前还很冷门的网络信息与安全专业如今炙手可热。

为了网罗奇才，国际网络安全技术对抗联赛XCTF联赛已经在中国高校中成功举办了三年。这是个极缺人才的时代，也是个催生人才的时代。越来越多像“极棒”这样的比赛在给予这些网络安全方面的年轻力量正面的肯定和引导。

新的挑战：AI（人工智能）安全挑战

在今年的“极棒”大赛结束时，组委会向全球黑客宣布，启动了关于人工智能安全方面的新招募。

人工智能领域，计算机的图像识别率在2010年时错误率在27%左右，2014年基本只有3.5%，如今，人工智能识别图像的能力已经和人类相当。

 “去年微软推出了人工智能聊天机器人，刚上线一天就开始骂脏话，因为在它学习的半天时间里，很多人教它说脏话，它认为这是人和人正常沟通的方式”，大牛蛙说。几年前，美国波士顿动力公司研制出一条网红机器狗，它具备的各种超强能力时常引发人们惊呼有一天它是否会统治和攻击人类。人们在训练机器狗的时候会用脚踹它，让它在这个过程中维持平衡，包括为难它。“我用黑客思维看就是脊背发凉，如果有一天我踹别人一脚，砸别人一拳，这些都被它学到了，那这样的AI发展的再强大，会不会威胁到我们人身安全呢？“

今天，人工智能研究依然处在起步阶段，“极棒”已经开始尝试用黑客思维来验证人工智能的安全性。他们担心，未来一旦图像智能识别被黑客攻击，将可能导致无人驾驶出车祸；一旦语音智能识别被黑客攻击，可能导致的不只是简单的语言暴力；机器狗的智能学习一旦被黑客误导攻击，有朝一日它会不会以一种难以控制的力量来攻击人类。

那么，“极棒“把人工智能列入到黑客挑战项目之后，又将出现怎样的情况呢？人工智能的漏洞会不会被白帽黑客攻破呢？我们未来将持续关注。

编辑/吕亚楠  实习编辑/小查