点击上方“腾讯科技”，选择“置顶公众号”

关键时刻，第一时间送达！

文 / 孙静

编辑 / 周春林

微信公众号 / AI财经社（ID:Economic-Weekly）

本文授权转自AI财经社（ID：Economic-Weekly） 。AI财经社，这里拥有权威专业的财经资讯，丰富饱满的深度商业报道。专注未来，以及更好的生活。搜索微信公号“AI财经社”关注，我们一起来定义未来。

勒索病毒“WannaCry”肆虐全球，黑客再次引起人们的关注。人们不知道的是，与黑客伴生的还有一群号称白帽子的人。

互联网安全圈对“黑白”格外敏感。

比如90后从业者邓焕，现在更喜欢自称“安全研究者”，而不是“黑客”或者“白帽子”。

在大部分人的印象中，“黑客”是动动手指就可以让银行账户多出一串天文数字的少年天才，是电影中轻松攻破美国国防部安全系统的电脑高手，是勒索病毒“WannaCry”、“熊猫烧香”等恶性病毒的制作者。而“白帽子”，虽然特指黑客中的守法群体，但这仍很难打消外界对他们的种种猜疑：会不会“白天白帽子，晚上黑帽子”？

邓焕并不回避——几乎每一个白帽子都会受到黑产的诱惑。他在初三时就收到一份开价数十万元的“邀约”，希望其攻击国内某知名央企的OA系统，窃取财报。95后的“珈蓝夜宇”，也多次在QQ上收到月薪10万元的“境外工作机会”。

他们少时便学会警醒。这是一个如履薄冰的爱好。如果说85前一代靠自由、共享的黑客精神完成自我进阶，那么85后、90后一代，则注定要在利益交错的隐秘江湖经受法律、人性的多重考验。

因为，黑与白的界限，有时并不那么清晰。

野路子

在圈外人面前， “珈蓝夜宇”从不会主动亮明身份。

年少气盛时爱炫技，同学朋友得知他是黑客后，纷纷抛来各种不靠谱的“求助”：能不能刷点Q钻？怎么追回被盗QQ ？帮哥们儿查下女友的手机？做个木马程序？……还有年长的亲戚打来电话：家里电器坏了，你能过来修一下吗？

他好脾气地重复解释：我不会，或者，我不做违法的事。

“珈蓝夜宇”有一张稚气未脱的脸。他高二辍学，18岁工作，到今年刚满20岁。我们初次见面时，他身体紧贴桌沿儿，像个腼腆的中学生。这与“珈蓝夜宇”在黑客圈子里的活跃形成反差。在搜狗、京东、腾讯等大厂商SRC（SecurityResponse Center，安全响应中心）上，他收获过不错的战绩排名。前同事记得，他有一叠京东购物卡，都是挖漏洞时获得的平台奖励。大家每次购物前，都先来找他兑换。

说起来很有意思，“珈蓝夜宇”钻研黑客技术，最初只是为了做外挂。

读初中时，他迷恋一款叫《地下城勇士》的网游，在一次被盗号后，愤而报了个在线的外挂班。学费300元，是他半个月的生活费。也算下了血本。

但是剧情在随后发生转折。因为做外挂带来的成就感，远远高出升级打怪的快感，“网瘾少年”迷上了黑客技术。他开始自学，狂啃《非安全》——一本介绍网络技术安全的杂志，当年售价29元。

很多80后、90后黑客都有相似的经历。伴随个人PC机的兴起，电脑杂志在潜移默化中影响了一批人。 “白帽汇”联合创始人邓焕记得，他从同桌的一本《QQ技术宝典》开始，买过《黑客手册》《黑客防线》《黑客x档案》等一堆黑客杂志。刚开始像看天书，很多东西不懂，却又觉得有意思，就硬着头皮往下读，慢慢理解漏洞成因。

此后便是实战。

“珈蓝夜宇”最早入侵过“卡盟”商城，一个虚拟物品交易平台。他点击右上角的管理员登陆，随手输入一个弱口令“admin” （超级管理员），进去了。当时很多网站默认密码是“admin”或123456，安全性相当糟糕。

接下来的故事，就像一个贸然闯入别人家后花园的孩子，发现院子里没人，便随意采撷几朵玫瑰，扬长而去。控制了管理员后台，“珈蓝夜宇”为自己和同学连续刷Q钻，不花一分钱。更多同学找过来，他成了大家眼里的牛人。一种成就感暗自膨胀。

邓焕也是成绩斐然。初中时，就有人在QQ上加他，开价数十万元，让其从某央企办公自动化系统窃取财报。承认当时很心动，但隐约觉得不太正当，便告知了父母。第一次的黑色诱惑被及时扼杀。

高中时，他入侵过某政府部门的官方网站，检测出多个漏洞后，发了一封邮件。对方的第一反应竟然是：你怎么知道的邮箱？ 至于漏洞本身，网站管理者并不在意。

大学毕业前，湖南某知名企业招聘信息安全人员。邓焕先测试了企业的官网，然后渗透到内网。发现系统漏洞后，他当晚整理了一份报告发过去。第二天，公司便通知他去面试。双方聊得不错，但最后被卡在学历一项，据说集团有统一要求，至少本科毕业。

邓焕去了互联网公司。互联网圈向来是技术说话，不太在意学历和专业。白帽子黑客确实大多“野路子出身”，靠兴趣自学成才。比如在邓焕前东家360公司的信息安全部负责人，大学读的考古专业，黑客教父级人物TK（腾讯玄武实验室创建者于旸），曾是一名医生。

相比之下，读信息安全专业的邓焕，已经算准科班出身。在24岁时，他升为补天漏洞响应平台的负责人之一。见过他的人说，邓焕眉目清秀的脸上，挂着超越年龄的老练。

我问过“珈蓝夜宇”，当黑客什么时候最有成就感。他没有丝毫犹豫：“挖一个影响特别大的漏洞。”

网上狩猎

“珈蓝夜宇”迄今挖到的最大漏洞，是微软“撞库”。撞库是黑客通过收集互联网已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。

他断断续续挖了一周。每晚9点，从公司回到顺义的出租房，第一件事便是打开笔记本上的扫描工具。每天要挖到凌晨三四点。如果当晚一无所获，总会忍不住沮丧，觉得时间白费了。

就像直觉灵敏的猎人，一个晚上，他终于发现了猎物的行踪 — 微软系统存在“撞库”风险。要知道，微软随便出一个可能被黑客攻击的漏洞，影响都将是世界级的。比如最近在全球攻城略地的勒索病毒，便是写照。

提交漏洞后，他很快收到微软奖励的3000美元。国外大型互联网公司如微软、谷歌、Facebook等，都有相对成熟的SRC机制或者漏洞奖计划，鼓励外部安全测试人员协助企业维护系统安全。

国内从2012年开始，才出现第一家企业SRC，是腾讯公司自建平台。阿里、百度、搜狗等互联网公司随后陆续设立SRC。

安全圈人士总结，正是有了SRC，国内才出现白帽子的概念，越来越多的黑客可以通过“挖洞”技术，光明正大地获取收入。

普通人想象中黑客个个身怀绝技，但实际中“挖洞”门槛极低。

邓焕记得，五六年前，国内对互联网安全防护几乎没有概念。中国出现漏洞最高的网站是政府和高校。“当时有多糟糕？随便一个互联网小白，拿着工具扫一扫，就能入侵几个网站。”

网上有大量在行业内被称作“脚本小子、工具党”的人。他们不懂漏洞原理，只会利用黑客工具，仍然收获颇丰。

“珈蓝夜宇”估计，会一点编程、会用黑客工具扫描漏洞的，月收入能达到上万元。

他本人多是晚上兼职挖漏洞，最高月收入4万元，仅在搜狗SRC上，他就挖出过包括输入法在内的四五十个漏洞，获得奖金近5万元。一年下来，兼职收入10多万元。

但他强调，只想赚钱的人，是学不好黑客技术的。

乌云网创始人方小顿曾说过，一名白帽子黑客，除了要在技术方面感兴趣之外，另一点就是必须拥有一个正能量的理想。

理想这个东西，在80后一代黑客身上尤为明显。邓焕形容85前的黑客，是理想一代。他们处事低调，乐于分享和交流技术，挖洞不为钱，只是为了证明个人能力，从中获得成就感。

虽然生于1990年，邓焕从心理认同上更接近80后。

“珈蓝夜宇”是标准的95后，但他也看不惯年轻一代黑客的张扬和浮躁。有人挖到一个漏洞，就在知乎上大说特说，展示攻击日志。有不少人，挖洞只是为了钱或名。

他估计，国内从业者至少数万人，但顶级黑客应该不足百人。他们或隐于江湖，在BAT身居要职；或开山立派，自己创业当老板。

目前白帽子黑客群体的主力是90后。

“在岸边走，尽量不靠河边走”

网络安全是双刃剑，黑客很难做到百分之百清白。在解释这句话前，邓焕抛出一道选择题：“白帽子在未通知对方的前提下做渗透测试提交漏洞，你觉得是合法的吗？”

这正是行业一度面临的窘境——法律界限模糊。众测本身是一个比较模糊的概念，测试到哪一步就该喊停？具体获取多少条数据既可以验证漏洞存在、又不至于违法？这些问题此前并未明确规定。

曾有某大型知名互联网公司被乌云曝出数据泄露。但是圈内人都知道，至少在半年前，该公司数据已经在地下流传，只是企业自身不知情。

邓焕的合伙人、安全圈“带头大哥”级人物赵武，曾在个人微博中不点名地做出预警。对方没反应。

很多人会追问，为什么不主动去提醒企业？

“如果我主动找上门，说你家某某处有安全问题。你的第一感觉是什么？你会觉得我勒索你。”邓焕苦笑。

白帽子黑客的顾虑不无道理。2015年底，青年袁炜在乌云平台提交了世纪佳缘的系统漏洞。一个月后，世纪佳缘报警称“网站数据被非法窃取”，袁炜遭逮捕。在圈内人看来，袁炜找漏洞、提交漏洞的行为没有越线，白帽子平时均是如此做测试。

这成了安全圈的一个标志性事件。处于灰色地带的白帽子黑客群体，开始重新审视法律边界。

2016年7月，又一转折性事件发生：中国最大的白帽子黑客聚集地 — 乌云网关闭，多名高管被警方带走调查。

安全圈一片惶恐，特别是在乌云网排名靠前的黑客，几乎陷入集体焦虑。邓焕说，很多人都进入“倒带”状态，回忆自己是否在不知情时踩线，是否碰过敏感数据。

有段时间，“珈蓝夜宇”格外警惕，不再轻易对某些网站进行测试，除非得到授权，“我怕被误伤”。他为自己定的规矩是：在岸边走，尽量不靠河边走。

一些黑客团体也会对成员提出明确要求：做测试一定需要公司授权。做远程评估渗透，必须拿到对方书面授权文件。

特别是今年6月1日以后，新施行的《网络安全法》第二十六条已经对白帽子黑客行为做出了明确界定，“开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。”

受乌云网事件的影响，部分企业安全人员有点郁闷。乌云鼎盛时，企业被曝光，就像经历了一次慌手慌脚的公关危机。部分企业由此开始重视网络安全，招聘安全人员。 “珈蓝夜宇”一个朋友，便在那时入职一家小公司。刚开始，这个朋友特别受重视，公司每次产品会议都会叫上他；后来乌云倒了，没人报（漏洞）了，他越来越边缘，没了会议通知，没了安全要求，他只得乖乖走人。

快一年了，外界仍无乌云及其高管的最新消息。

一名圈内人评论，乌云社区的存在有利有弊：它标榜自由理想，汇集了一批热爱技术的人，对安全行业做出了不可忽视的贡献；但与此同时，这种漏洞公布方式，不能排除有搞黑产的人会混在里面，坐收渔利。

“黑产的诱惑”

圈子里总有人过段时间会莫名消失。直觉告诉“珈蓝夜宇”，又有人去闷声发大财了。

“大财”，即黑产。白帽子与黑产从业者都是“漏洞猎人”。不同的是，前者的猎物是漏洞本身，后者则围猎企业和网民，靠洗劫攫取财富。在这类人眼中，技术或许只是让银行卡数字不断变长的魔法工具。

“珈蓝夜宇”就在黑客技术交流论坛上，结识过一个网名“法师”的少年天才，技术特别厉害。两人后来在一个朋友的聚会上还见过面，一起喝酒、唱歌。

但他最近一次见“法师”却是在新闻照片上。2016年8月19日，山东准大学生徐玉玉被一个诈骗电话骗走5000元学费，18岁女孩绝望离世，震惊全国。警方侦破案件时发现，一名不法黑客利用网站安全漏洞，侵入“山东省2016高考网上报名信息系统”，下载了60多万条高考考生信息，并在网上非法出售，获利5万多元。这其中，就包括徐玉玉的个人信息。

“珈蓝夜宇”发现，犯罪嫌疑人有点脸熟 — 正是“法师”本人。

一阵唏嘘。

“珈蓝夜宇”也遇到过黑产的诱惑，但自嘲“怕有钱没命花”。

“我感觉他（“法师”）就是有钱没命花的那种。” “珈蓝夜宇”发现，黑产人员会从各大厂商的白帽子排行榜上挖人。对方上来就说，有新加坡、菲律宾的工作机会，年薪百万，保证绝对安全。开出的条件里，还包括每天换模特女朋友。

这个待遇极具诱惑。毕竟，在国内要做到大神级黑客，年收入才有可能达到百万级别。

黑产从业者过着与白帽子截然不同的生活。邓焕身边有人炫耀，做黑产日收入几万元。有人开销特别大，出去吃顿饭要好几千，然后就是买各种豪车、奢侈品。但近年，国家越来越重视网络安全，有不法黑客因多年前的案底被翻出来而锒铛入狱。 “跟贪官一样，有了第一次（受贿），觉得来钱特别容易，收手可就难了。”

有位“回归”的朋友还告诉“珈蓝夜宇”，出国后， “组织”会扣押护照，就像传销组织扣押身份证。

大型互联网公司通常不会录用背景不清楚、或有过“污点”的安全研究人员。不知黑白是很可怕的事，有可能演变成企业危机公关。今年3月央视报道称，京东前员工郑某鹏，被曝长期与黑产团伙勾连，从供职过的多家互联网公司盗取个人信息，在网上售卖。

消息一出，很多用户担心个人信息被泄露，后来京东方面出来澄清，公司是在与腾讯联合打击信息安全地下黑色产业链的日常行动中，发现该员工系黑产团伙成员，并立即报警。“由于该员工入职时间不长且权限不高，因此这批泄露的信息是否包含京东相关信息还有待查证。”

也有商业竞争对手利用安全作文章。 “白帽汇”服务过一家做2B业务的客户，在拿下一轮融资的前几天，该公司用户数据批量被盗。入侵者群发邮件给每一个客户，指出系统不安全，导致下一轮融资直接受到影响。

接手后，邓焕和同事分析网络日志，进行溯源，结果发现系统安全存在漏洞，并被攻击者拿来利用。联想到攻击的时间点非常关键，这家客户推断是某竞争对手所为。

邓焕入行七八年，听过太多以安全为工具的商战故事——有公司为抢客户直接入侵竞争对手的数据库，会把客户资料偷过来，再逐个电话推广。

这也是邓焕选择出来创业的一个原因：大量企业的“后花园”并不安全，“栅栏门”上需要加把锁，将不速之客拦截在门外。他们要做的，便是为企业提供安全定制方案，并收集威胁情报，在事前、事中、事后提醒企业。

团队有一条业务线是卧底黑产。在互联网上，QQ是黑产人员的聊天主要渠道。他们派人加进群里，由系统监控着几百个黑产群，总人数达万人。

黑产盯上谁、攻击谁，想脱谁的数据、哪些企业的数据在地下正被贩卖等，这些均构成威胁信息的内容。

不久前，他们发现QQ群里有人贩卖某知名电商网站的最新订单数据。邓焕团队经过初步印证，发现订单真实存在。因为与网站安全负责人相识，他们便将这一情况直接告知对方。

得到授权后，他们作为企业与黑产的“接头人”，帮对方买回一批数据，验证真伪，排查出问题的环节。最后追踪到，某分省一个快递公司系统出现漏洞，导致客户数据被卖。快递公司连夜报警。

互联网世界，数据成了被交易的商品。有的一条要一两块钱。早些年，花上三四百元，便能买整套身份证和银行卡，全是别人的名字。即使现在，在QQ里还能搜得到。在百度网盘，输入某些关键词，可以搜出几百万条与个人信息相关的数据。

还有不法黑客，为了炫耀，会在某个网页后面挂黑页，留下自己QQ号。黑页属于网站二级目录，需要管理员权限才能创建。白帽汇监控到，会将信息输送给企业。

对安全敏感的企业越来越多。“珈蓝夜宇”有次开着扫描器，边扫描，边浏览知乎网页。次日，知乎技术人员看到攻击日志，便根据ID找过来，委婉地说，公司正在招聘安全人员。而在五六年前，白帽子提交漏洞，或主动联系厂商，通常别人理都不理。

网络安全的剑与盾

在望京一处快餐厅结帐时，“珈蓝夜宇”很认真地盯着小票嘀咕：“说发短信通知，可我不是会员，他们怎么知道我的手机号？”

直到我确信是他误解了字面意思，他才将注意力转移到食物本身。

安全圈的人都敏感。他们比谁都了解，当下信息泄露成本之低。邓焕发现，自己遭遇信息泄漏，也只能抱怨一句：“又被卖了，个人信息没被泄漏出去才厉害”。

中国互联网协会数据报告指出，78.2%的网民个人身份信息被泄露过，63.4%的网民个人网上活动信息被泄露过。曾有媒体报道，在黑产群里，700元就能买到一个人的行踪，包括开房、乘机、上网吧等11项纪录。而获取这些信息，仅需提供一个手机号码。

安全圈对此早就司空见惯。邓焕订外卖，从来不用实名和个人手机号。他周围很多人都用“阿里小号”，与实体SIM卡绑定，在订餐、网站注册、购物时，App会自动生成另一串电话号码，显示到对方平台上。

邓焕本人对实名制的态度极为谨慎：要求互联网实名制，一定是建立在系统安全或能保护好公民隐私的前提下。一旦信息泄漏，影响恶劣。比如韩国要求公民上网需接入个人信息，但却发生了数据库泄漏事件，导致全国公民信息都有可能被脱了库。国内也发生过因为社保系统漏洞，多省公民社保信息被泄漏的事件。遇到网站注册时要输身份证号的，除非BAT这种，其他邓焕情愿放弃注册。

而“珈蓝夜宇”的敏感，更多是在拆快递时的强迫症。他一定要把快递单据撕碎，实在撕不下的，就拿小刀划烂，再扔掉。他从不用公共Wi-Fi，也不会为了领取廉价小礼品，而用手机扫一扫或注册某些乱七八糟的网站。

今年6月1日起施行的《网络安全法》，或许某种程度上可以降低个人信息被泄露的概率。该法第四十二条明确了运营者的责任：“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”否则，轻者被警告罚款，“情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照”。

一把高悬的达摩克里斯之剑。

这也意味着，发现网络漏洞或网站被黑以后，企业不能再不了了之。对于中国互联网的安全来说，这部法律的实施不啻为一个良好的开端。

邓焕觉得，对白帽子黑客而言，这或许也是件好事。

【本文将刊发于2017年6月5日出版的第134期《财经天下》周刊】