本期人物：龚蔚是中国最早的一批黑客之一。与信息安全行业起伏波折同步发展二十年，一直坚守初心，无论世界如何变，无论观点怎更新，他一直秉持不变的精神——对未知的突破，和对道德的遵循。在本期访谈中，龚蔚畅谈他对黑客精神的理解、对众测平台的态度、对个人名誉的淡然，和对行业发展的趋势判断。

张：先说说曾经耳熟能详的这个名字——Goodwell吧，据说不止一个人曾声称拥有它的“冠名权”？到底真假如何？

龚：的确，就像你说的，也许是因为Goodwell太响亮了吧，不少人都曾冒用过，有朋友还专门问我，你这个Goodwell是真的Goodwell吧。按我的理解，有人用它，也许是出于很直接的商业目的，我不予置评，用就用吧，但对我自己来说，Goodwell就是龚蔚，龚蔚就是Goodwell，这从绿色兵团一开始就注定了。

张：提起绿色兵团，现在看来已经是陈年往事，但我们还是不可避免会提及当初因商业化所演化出来的种种纠葛，比如南北绿盟的分裂，以及你的淡出。那现在我们假定，假定当初您认可沈继业的商业模式，绿盟没有分裂，会是怎样的一个发展？

龚：我觉得中国互联网安全，成也绿盟，败也绿盟。中国互联网安全唯一一次能够团结一心的，就是在绿色兵团时期。现在回顾历史，已经不可能这样了。如果绿盟还是理想主义，加上有资金支持，那么这十多年也不会出现黑产满天下的情况，至少不会这么黑暗。按照你的假设，也许，这十多年虽然说黑产不可避免，但至少不会像现在这样，事实上，安全圈早已经没有了凝聚力。

绿色兵团之后，民间自发的联盟组织也不少，比如红盟、安全焦点、鹰派等，但是也比较分散。有了黑产就不太会出现具有凝聚力的组织，因为要建立一个组织，要么是利益，要么是理想，一开始我们是为了理想和信仰聚在一起，而沾上利益的团体就会很低调，不可能大张旗鼓，小团体是希望隐藏的越深越好。所以大的团队有理想主义，愿意分享，把理念灌输，也容易凝聚人。

我觉得有绿盟在，起码可以减慢（黑产发展的）进程，利用那段黄金时期，有更多具有凝聚力的团队会出现。

张：看到过以前您一次报道，说对您个人职业生涯有直接影响的，是四个人，但那似乎都是早十年前的事了，那后来呢，还有吗？

龚：没错，对我有很大影响的，第一是当初同学的父亲，他的一台中华学习机直接让我搞了计算机；而coolfire的八篇文章，让我进入安全圈；那本《网络安全最高技术指南》，让我系统了解了安全体系该怎么做；老沈（沈继业）的商业思维也对我促动很大。后来，可能是自己成熟了，想法也比较稳定了，相对来说，就没有什么太直接的了。

张：您提到多，十多年过去，黑客江湖已经烟消云散，取而代之的是黑产江湖，那您曾经崇尚的黑客精神是否还在？而黑客文化呢？

龚：当然，任何一个时代，黑客精神都会存在，因为总会有那么一些人，对自由的追求，对未知的探索不会变。但作为道德底线的黑客文化，就很难说了。

道德底线最基本的是，黑客可以用技术做很多研究，去寻求不同的路，但是不能把技术作为恶意破坏、谋取利益的工具。

比如像黑产，它其实并不研究技术，它只要赚钱。所以说要想成为大师，必然不能把利益放在第一，只有在过程中寻找满足，不断突破和探索，才可以走得远。在过去，这样的人很难走远，利益诱惑太多了，对于正道的支持又少。所以一段时间内，很多人走偏了，黑的比白的多。现在，行业成熟了，互联网企业可以拿出钱来支持没有结果的研究。

让我欣慰的是，我一直都还在这方面（正向引导）尽我的力量。回顾之前创业的9年，做的是我真正喜欢的。赚到多少钱不说，这9年培养的人，是我最欣慰的，现在都是在行业有头有脸、耳熟能详的。我觉得很多人到我这里还是懵懂的孩子，没有建立是非观念，（如果不加引导）很可能就走偏了。

现在如果有江湖，是黑产的江湖，可能有帮派团队，收保护费的。互联网企业知道这些东西来源渠道不正常不合规的，但是愿意去买，也产生了灰产。比如装机量就可以买，有人愿意买，就有黑客愿意去后台做。盗号划钱的都是比较低级的技术，很多是选择在边缘地带进行。比如广告算点击率，但是不管怎么样也愿意买。

行业越来越细分，有了灰产，同时赚钱的机会对于有技术的人越来越简单，也意味着要成为大师也越来越难，诱惑太多了嘛。所以说像王琦、吴石他们Keenteam这样的团队，就特别值得尊敬，毕竟说，他们其中的任何一员，只要随便谁做黑产，都会是衣食住行完全不需要担忧的，但他们没有，这就是黑客精神。

张：江山倍有才人出，TK、吴石都是新一代技术领军人物，和现在很多技术高手相比，您会有一种怎样的感觉？

龚：这个没法比，我有自知之明，呵呵。

张：您怎么看待现在越来越多的众测平台？

龚：这是非常有意思的一个话题，白帽子到底什么心态值得讨论，还有为什么白帽子这个市场会形成。早期黑客对知识的探究，展示自己的能力，可以通过政治事件，一夜成名。现在随着法律的严谨，没有这种机会了。一部分人走偏成为黑产，还有一部分人，坚守道德底线，但也希望有人来认可，所以就出现了白帽子。

但是白帽子到底合法吗？我也没叫你看我家，但是你每天老是在我家门口看，说我门没锁好，窗没关好，然后还放在网上，让我来认领。这种情况到底好不好？

我认为，不管白帽子多么高尚，我不相信所有人都是大公无私希望企业做得更好。可能有个别有这样的想法，但大多数不是这样的，他们只是寻求一个平台，实现对个人的认可，同时通过法律或机制的保护，隐藏了自己。这样子做对找工作也比较方便。所以说，目前国内缺一个合法的国家认可的证明黑客能力的地方。

乌云刚出来的时候，很多人都是质疑的。当时说为何叫乌云，因为乌云过后，就是晴天。我觉得乌云的节点很关键，乌云的何去何从，决定着下一代黑客的方向。这将会影响到中国未来一批从事信息安全的人的文化理念和道德准则。

为什么这么说呢，因为现在也已经出现这样的趋势，就是众测平台越来越多。很显然，众测多了，就会有利益冲突。就好比收保护费的多了，就会打架。现在众测越来越多，投身的人越来越多，牵涉的利益越来越多。如何合法化众测平台是比较重要的，比如对用户业务和披露敏感信息当面都应当做出规定。

张：在我印象里，有关您的信息似乎都停留在绿色兵团阶段，中间除了组织2011年COG峰会，后面就没有声音了。创业9年你非常低调，对外界来说，似乎龚蔚已经成为历史了，您怎么看？

龚：现在我觉得也没有必要站在最前面，都是过去的了。以前年轻，确实喜欢风口浪尖，为行业做一些事情，帮到行业，就感到很欣慰。看着自己带的一批又一批的年轻人，成名的很多，觉得很有成就感。后来觉得行业成熟了，也不需要我了。另外人的心智也成熟了，认识到也没必要站在风口浪尖。

而且从整体环境来说，现在安全圈领袖式的人物没了，也不需要这个江湖，规则已经很成熟了，不必再去建立江湖了。现在学习氛围很成熟，信息安全的学科也有了，公开资料太多，哪个领域都可以成才，成为大师。

同样的，现在也很难出成绩，但是一旦出来，质量就是比较高的。比如吴石，纯粹自己的兴趣爱好，也没拜师、加入团体，就有了现在这样的成就。

张：直到今年，突然有了您加盟万能钥匙的消息，创业9年，龚蔚靠岸了，是什么契机令您做出加入万能钥匙团队这样的选择？

龚：一段时间以后，我觉得安全这个领域还是受众面小，真正大的机会还是在互联网。其实我早应该看明白了。当时我的朋友创立久游啊，我还看不上，觉得还是烧投资方的钱，我们卖产品一单就可以直接赚钱。而现在来看，还是互联网企业发展的快，安全企业没有发展这么快，虽然技术很强，但是发展远景不同，因为群体限制了发展。

靠岸的想法是去年年底产生的，本身安全的领域很小，而我又是做安全领域很小很特殊的一块，所以觉得要换一换环境。

现在我在企业内部担任安全顾问，负责安全团队建设和安全系统设计。

张：从您目前的工作来看，互联网公司有什么特点？与传统公司的安全有何不同？

龚：互联网公司的框架是比较粗放的，不像做安全的思维非常严谨，一丝不苟，像外科手术刀。而互联网则是只看方向对了就可以，先布局，占领制高点，再慢慢调整。

过去传统公司上业务前是先做安全风控。但现在互联网都是先上业务，我就是需要在安全和业务之间权衡，找平衡点。在不影响业务最快上的前提下，最大程度保证安全，找到这个平衡点。必须要先上业务占领市场，这对安全顾问是很大的挑战。但是传统安全公司不大会考虑业务，而是让企业把全部流程和机制上一遍。互联网不是这样的，所以很多时候，互联网企业不得不自己做安全。

互联网的思维更加直接，用户导向。比如我们做VPN目的就是保障安全上网，但是所有流量从我这里走，流量会很大，我要把流量派出去，做分流。传统思维的话要判断这个站点是否我要的，有黑名单、白名单、灰名单。但是互联网思维是直接拉一张名单，前10个肯定不是想要的。用最简单的方法满足用户需求。

还比如现在的互联网金融，他们怎么来保障用户的钱？很多就是通过最简单的买保险。他们不会去考虑账户被盗我如何判定理赔。而是计算添加了投保业务后会增加多少用户，扣除账号被盗的比率，如果可以就直接用了。

总体上，传统企业滞后、完备、严谨。互联网企业是先找到平衡点，然后逐步加强，不断快速迭代。对他们来说，时间很紧张，市场发展太快。

张：那从驱动力上，互联网企业和传统企业应该会截然不同了？

龚：传统企业是合规驱动，互联网企业是业务驱动。

互联网解决安全的模式和方法更为灵活。比如访问控制不一定要通过防火墙，可以在后面的业务上增设节点，不拘一格达到目的。而传统企业是合规要求导向的，不管怎样都会按照要求系统性地上。所以传统企业依赖第三方厂商支持，互联网企业则是自己开发。另一方面，互联网企业知道数据是有很高价值的，对于数据价值的认可要比传统企业高。所以互联网企业要对于安全的可掌控能力更强。从某种角度将，这对安全的从业人员来说是好事，比起传统的安全，给了他们更多的自主空间。

张：说到靠岸，我是觉得蛮有趣，你加盟万能钥匙，方兴到阿里，TK去腾讯，而现在恰逢大众创业万众创新的大环境，为什么很多安全创业者却都要选择上岸呢？

龚：新一轮互联网泡沫又起来了，这和当年那轮很像。虽然安全越来越热，但是投资人更青睐互联网的东西。一样的内容，互联网的故事就更大。当初我搞绿盟时的想法就是错的。互联网淘金热，我们说绿盟就是铁锹，他们必须要买这把铁锹。但是时间证明，投资人对于铁锹卖多少钱不关心，他们只关心矿里的金子可能带来的预期。

现在，看起来互联网创业很热，似乎安全也有机会，但会不会还像以前，以为卖锹就好？也许安全行业会被带动，但是相比于互联网还是太小。所以，不可避免的，安全行业走互联网模式也许是最好的选择，比如360就是典型的互联网模式做安全。

现在这波人的理念很大程度上还是过去2000年那会儿的铁锹想法，但是投资人是哪怕亏掉也是要支持淘金的，铁锹多少钱不是关键，能否挖到金矿是他们关注的。

张：但是也有观点认为，尽管互联网这么热，传统安全的市场还是存在的，您怎么看？

龚：我不太同意。我认为现在的传统企业会和互联网企业的市值差距会越来越大，未来第二梯队的市值都要超过你很多。我不认为做安全的可以安于传统的现状，至少成长性上肯定没有互联网快。

比如以前淘宝寄到家，它里面有隐私安全的问题，但现在在当中搞一个节点，菜鸟物流，不用寄到家里，从信息安全来看，就是关于隐私保护的产品。如果当时有个企业先于淘宝，先把点都铺了，就是领先的。

我还是认为新形态的安全公司要多接触，可能不会走得多远，也许会是死在沙滩上的第一批人，但还是值得的。

张：未来是否会出现真正的新一轮信息安全创业浪潮？比如从BAT脱胎而出的？

龚：也许吧。不管怎样，将来安全领域的老大绝对不会是卖安全产品的，一定会是新兴模式。像吴洪声做的DNSPOT和新一代的移动互联网认证系统，就是互联网模式的安全。也许他暂时不会成功，只要不是第一批死在沙滩上的，以后会有更好的发展。他的这种新模式，与旧模式产生了碰撞。也许十年以后互联网就会是这样的模式。

无论何时，安全一直是需要的，唯一问题是份额太小。哪天可以告诉大家，可以做所有的人，就可以做大了。到那时候，也许安全的形态就变了，概念完全不同了，肯定不是我们现在理解的这样。

我在公司现在做了一个产品，也是这种思路。就是员工在WIFI使用时候，我做了一个VPN对支付通道加密，不管是否钓鱼节点，都可以实现安全支付。以前VPN只是作为安全的技术，让安全人员维护的时候使用，现在有了场景以后，就有一系列连贯的应用。

当一些力量在互联网领域积蓄并融会贯通，到时候可能还会有一波创业潮。

现在资本市场这么火热，都喜欢互联网企业，到底是泡沫，还是新一轮起步？我们经历过泡沫年代，但这次至少有一点与以前不同，以前倒了就倒了，现在1家倒了，结果大家合并，1+1>2，合并了之后，又一个新的起来了，又圈了一笔钱。

现在比拼的是谁烧钱有价值，往往合并之后就可以赚回来。互联网企业，击鼓传花，有人关注就可以。

张：那新一波浪潮中，信息安全发展，有没有你看好的哪个领域？

龚：征信会是一块很重要的博弈战场，BAT三者各有千秋。百度有搜索、地理位置，阿里有购物习惯，腾讯有社交数据。也许并不会有一家可以统一这个市场，国家也不会公开征信系统，可能最终是多家各有各的侧重。这是未来可能可以发展的一个方向。

张：最后，回到一个很大路的话题，关于您个人，业内早已有“黑客教父”的声誉，但除了您，还有好几位也都有类似的称谓，比如老鹰、TK，对此你怎么看？

龚：千万别叫我“黑客教父”，我不是什么教父，充其量我只是有一些影响而已。

其实我觉得，大家之所以这么叫，还是觉得这是一种影响力，那什么是影响力，一定是对外的而不是对内的，是要看他出于自己利益还是为了整个行业的发展。从这一点看，在我心里，也许最值得这个名字的就是coolfire，他是个启蒙者，是真正的黑客教父。我比较欣慰的是，虽然不是很大，但至少我影响了一批人，让他们能走正道。另外像TK，技术上出类拔萃，也是一种很大的影响力。

张：您一直提到的coolfire，除了当年，没怎么出现在公众视野，似乎很神秘？

龚：他大名林正隆，是台湾人，我和他也没有太多直接来往，但他是有影响力的。他现在也在创业，但已经不是安全这块了，其实你还真该采访一下他，当年的风云人物，跳出这行再看这行，一定有不同。

张：正有此意，帮我引荐一下？

龚：我给你他的电话，不知道还有没有效，你直接联系，就说是Goodwell的朋友，哈哈。