本期人物：

2012年，26岁的方小顿决定离开百度，全心打造自己一手创办的乌云社区。当时来说，无论从哪个角度看，乌云都像是一个难容于社会的乌托邦之地。

乌云社区对自己的使命是这样描述的：我们将跟踪漏洞的报告情况，所有跟技术有关的细节都会对外公开，我们尝试唤回大家对技术的尊重。而方小顿，则将其愿景提炼成一句话：“在这个平台里，漏洞研究者和厂商是平等的，乌云为平等而努力。”

理想实现的速度，似乎远超预期。彼时，安全还被大部分企业视作“限制”和“负担”，从业人员的回报和上升空间也极为有限。只短短5年，这种封闭的状态渐被打破，行业变得公开透明起来，安全已经成为企业不得不去严肃对待的问题。“白帽子”的地位随之发生了翻天覆地的变化。

“现在看来，我离开百度损失极大。”方小顿玩笑说，事实上，许多选择留在大公司安全部门的他的朋友们，现在都已身居高位，薪水不菲。但你很难说，5年来，如果没有方小顿，没有乌云，这个行业的面貌又会是怎样的。

以下访谈对话，张即张耀疆，方即方小顿。

“方小顿这个人”

2006年毕业，先去了一家小型创业公司，在那里做了2年半，之后去了百度。在百度，我从2008年待到2012年下半年，之后就出来全职乌云了，开始也想做产品中间因为没有想清楚，同时维护社区也牵扯很大的精力，耽搁了很久，好在现在团队更成熟，产品还是搞出来了。

创业伙伴都是从大公司出来的，我离开百度的时候，是T7这个级别。现在看来是付出了一些代价，如果没有离开，应该都薪水不菲了（笑），当时没有这么觉得。这说明安全行业近年来发展得比较好，行业内机会多了，大家处境好了。

我并不后悔离开大公司去做乌云。在这么短的时间内，乌云伴随着行业一起成长，我也积累了很多经验，掌握了更多处理问题的方法，这不是用技术上的积累能够衡量的。现在我知道产品、运营是怎么回事，也略懂技术，对自己是一个突破，这条路对于我自己而言，多了一些可能性。

方：大学里我们对自己所学 27 54741 27 15287 0 0 4283 0 0:00:12 0:00:03 0:00:09 4283专业都不感兴趣，去接触网络安全也都是因为玩。自己去学，学多了，自然而然就走上了这条路。

那时候，黑客一般都是地下行为，学校里面也没有很好的培训。一直到现在都是这样，不只是安全，互联网发展很快，刚刚做出教材来，就落后于实际的技术了。当年我们学校里用到的计算机，都是很古老的。安全水平是需要在实践中提高，需要攻防演练，学校里面不能教这些东西。

当然，安全这东西，真的可以有成套的教材吗？这要打个问号。黑客本质上是要求你突破的，如果是学校教的，不可避免都是些条条框框，这也是个冲突。因此，实践是唯一一个突破点。愿意去实践的人，都是觉得这个事情好玩。学校教你的东西是循规蹈矩，黑客就是要把规则破坏掉、突破掉。

所以安全这个东西必须靠兴趣。

方：其实是因为当时百度发生了一件事，就是境外黑客攻击百度的域名，使整个百度中断了四五个小时，公众一下子就很关注安全。这次事件是我们团队处理的，我是技术leader，于是这个活动就带上了我。

李老板上这个节目，是想让更多人了解百度，从哪些角度了解呢？百度背后安全技术是切入点之一。那次去的大部分都是技术人员，他们平时为网民提供服务，现在就能借这个机会告诉公众，技术这个角色是怎么发挥作用的。

方：公司让我去，我就去，没有觉得特别了不起。我把它当成公司的一个活动，可能对招聘有好处吧。

节目也没有编排过。我们都是前一天到那里的，知道了以后就去了节目。之后节目怎么拍摄、安排、剪辑，我都随便的，让我去唱我就唱了，没关系的，唱砸了不是有后期嘛。而且我就是一个技术啦，到了那里之后就随便呗。

方：我都没回头看过。不过，了解我的人都说台上的我和平时差不多，在公司也这样。

方：我不怎么管规矩。我是一个搞技术的，思想非常简单。对于我们技术人员而言，（很多事都）无所谓啊，不像其他人会考虑很多东西。

比如你刚才问，为什么要上台唱《一无所有》。我本身就喜欢这种音乐，自然而然地就唱了。没有什么想法，做别的事情也是一样，想到了就去做，从不思前想后。如果不是因为这种考虑问题的方式，也许很多事情就干不出来了。

方：有一点。任何东西，从一个公司到一个程序，本质上都应该代表着创始人的想法。我做任何事，一开始都不会多想，觉得好玩、有意思，就这么干了，而且技术，产品包括黑客本质上都要求有一些突破的，这本身就有一些艺术范儿。

方：2006到2007年那会儿，已经有一个黑客酒吧了，但当时行业的氛围相对差一点，所以很难做好。那会儿我和0X557一起玩儿，那个团队很不错。再环境好一些大家合计再搞一个黑客酒吧试一试。现在呢，这个酒吧算是乌云跟他们一起的产业。

那时，我觉得搞得好就众筹，搞不好就拉倒，国内安全环境，表面上很热，但还不是很热。这个酒吧现在就是一个活动场地，搞搞沙龙什么的，陆续布置一些黑客素材。创始团队不少人去了上海发展，所以有些东西跟进得不好。我周末会去一下。它的存在也就是表达黑客存在的一种方式。如果真想好好以生意的方式经营，估计绝不会选择开到酒仙桥。

“乌云来了，一切都在变”

之所以搞乌云，是因为我发现有个问题，就是当时，安全技术这个东西被严重低估。

全世界最好的安全技术不在企业，企业的安全跟我们社区里讨论的是两回事。全世界最好的安全技术拿到公司根本没用，因为不被重视很那落地。老板考核，说你们安全做得怎么样，我怎么知道我做得怎么样？外面安全公司说你很糟，当然很糟，不糟他就没法卖产品了，我们自己没办法说自己好。要么你对比一下同类型的公司，但是根本没法比，腾讯会把自己的安全状况对百度公开吗？企业和企业之间是隔开的，非常的封闭，根本无法形成开放的讨论风气。

还有，我们每年去下面招聘，说要招聘安全方面的人才。可是从来没有招到过懂安全的人，他们根本不知道安全是什么概念。他们会问，你们要招懂密码学的吗？需要懂数学的吗？这不是我们要的。然后他们问，我们要搞安全，到底要学什么？所以我就觉得很奇怪，学校里居然即使是学习信息安全专业的你也招不到合适的人。

究其原因，安全还是太封闭了，企业不开放安全方面的信息，所以任何人都不知道企业关注的安全是什么？要改变这种状况，我们只需要解决一个问题：就是把安全问题拿出来讨论，所有东西都可以讨论。

我们会通过讨论得知，什么样的问题更严重，什么样的问题不严重。不是说第三方公司发给你一个文件，说这个漏洞是高危，那就是高危了。以前，任何一个人发现了漏洞，往QQ群一贴，其结果根本不可控。我们一定要把这些人引导到企业里来，让他们知道，企业对什么在乎，对什么不在乎，我们要建立一个通道。

同时，这也有助于企业更好地做安全。比如腾讯被曝出一个漏洞，那我们百度，或者同类企业，也会对这一块做好的防范，同时大家常常交流。最开始就是这个目的，我们也是很简单的，就是想要技术人员互相之间地帮助，没想到很多人进来玩。

方：刚才讲的那个问题，安全社区里的人不跟企业交流，这是很失败的。企业和企业之间没有交流，甲方和乙方之间，也是自己搞自己的。安全公司把安全搞得很高大上、很牛，他们不愿意去跟企业共享这些信息，为什么呢？我共享给你，我就没饭吃了，所以就倾向于把自己搞得很有壁垒。在这种封闭的环境下，安全圈子好几万人，其中可能就会有人走弯路。

现在要改变，方式就是拆墙。想让企业对安全有了解，可能还要把用户引进来。当用户了解到安全对他们的重要性之后，就会倒逼企业去投入，去发展安全。不然的话，企业是没有动力对安全进行大量投入的，因为安全不是产能，安全是限制。就像有一个人，为了扩大业务，他要造一个一百层的大楼，但却并不在意这幢楼的质量，他只管卖出去了收钱，但是真正用户住进去之后怎么样他是不负责的。在企业，安全做得不好，实际是用户就会受损。就像那个造楼的人，造完了卖钱，这楼出了什么事情跟他没有关系，因为真正损害的不是他自己啊。很多问题，都需要建一个比较好的开放渠道去解决。

最早也没想过往哪里拓展。但是至今，这个初心也没有变过，它在逐渐清晰、逐渐加强。我们开始只想把这个事情做好。

早些年的时候，我们自己特别喜欢上几个社区网站，这几个网站的安全状况都很糟，其中有一些还被黑客攻击拖库，里面还有我们的数据。我们想，我们的安全技术那么强，但作为一些网站的用户时，我们自己的利益却得不到保护。我自己常用的网站，比如一些音乐网站，都没有足够强大的安全实力来保护它们的数据。往后越想越多的时候，就决定多做一些事情，于是我就联系上这些网站，发现他们也一样需要帮助。所以起点也许是一个想法，但之后的路是越想越清晰的。包括最后跟工信部合作，最开始没有人想过，是一步步走到那里去的。

但基本的方向一直没有什么变化，就是为了让安全开放，让行业更好，然后工程师的身价才会涨，技术也会得到重视。如果企业觉得安全是限制，而不是重要的东西。现在看来，行业的状况已经好了很多。

方：是的，国外的环境是不一样的。首先，一个公司如果因为安全问题遭到损失，社会、政府去关注你，信息非常透明公开，一个上市公司，会有很多法案来约束你，所以公司才会有动力去把事情做好。

我觉得最核心的是，在国外，法律对个人的保护是非常大的。如果你把个人的资料交付给企业，出了任何问题，政府和用户会约束你。从企业的角度来讲，信息会更开放。我们用任何软件，出了什么问题，会把整个经过告诉用户，再给你一个建议，如何保护。中国企业到现在，出了那么多问题，从来没有一个企业主动告诉用户。

最简单的一个例子。腾讯的qq群，大概是2013年左右，有过一次泄漏，数据流传出去了。一年多以后，我们收到一个报告，说是qq群泄漏了，于是我查了一下，发现自己受了影响，查了一下别人的，也受影响，知道他同学是谁，骗子就能去借钱了。于是我们把漏洞公布出去了。结果腾讯的回复是，的确有这个事情，但我们13年就搞定了。既然早就发现了，你那时候为什么不讲？以为漏洞一补就没事了？如果我们不去讲，腾讯当时的态度就是当这个事情不存在。但我觉得，你企业不管什么原因泄露了用户的数据，都应该表个态。所以中国还是比较特殊。也可以说，乌云是很中国特色的。

方：其实很现实，对于我们来说，希望社区里的人过得好一点。我们在大公司工作，我的Level就在这里，因为公司认为我的贡献仅在于此。如果不改变这个行业，这种情况就永远不会改变了。所以哪怕是站在自己的角度想，也会希望行业变好。如果我不做安全，我干嘛这样？我才不管了。所以我希望白帽子有一个提升。

以前，白帽子发现一个问题，根本联系不到企业，你联系他了，他还觉得你惹事儿了。企业觉得有漏洞没事，你讲了就是有事儿了，企业非常强势。安全部门没有人重视，白帽子没有上升空间，很多人就会去干坏事。比如现在很多类似新闻，你搜索几个黑客相关的关键词，会发现一是都在二三线城市，二是“高中毕业、或者没毕业的天才少年”，当然，所谓这样的黑客，是有一些技术，但都不是什么高深的东西。

仔细一想为什么？是二三线城市？为什么是天才少年？为什么不是一线城市的技术人员？为什么技术都是二流的？这是有原因的。如果给他一份工作，去百度上班，你说他愿意去搞坏事儿？二三线城市没什么机会，这种技术没人认可，许多“天才少年”连日常的开销都很难维持，当地不认可他，又没人引导他，那他能干嘛呀？说他没什么技术吧，又有一点小技术，QQ群一说，搞呗！

方：这块没法了解，因为没法跟他们交流，但现在看来，中国这类的（黑客群体）暂时不大。

这些人有一定的能力，不去引导的话，他不做好一定作恶。事后，我们复盘，觉得如果让这些人去跟企业接触，企业给他些机会去做漏洞测试，并且去宣扬他们的贡献。他就有一个出口，就能做正事，我觉得好人或者坏人不是天生的，大家的技术都是差不多的。因此要找到一个好的机制，让好人继续做好人，坏人也能做好人。

方：一开始想要改变我们自己，后来想引导更多人，再后来，就和政府部门一起，现在，我们想要做一个生态。一点点起来的。当时是没这个概念，越做越清晰。我们让社区在这里面，企业在这里面，用户在这里面，每个人都能从这个社区获得成长。

对于白帽子来说，我报漏洞，学习知识就能成长；企业修复了漏洞，安全得到提升，安全意识增加；对于用户来讲，就是公开。有的企业，在国外就算是违法了，国内因为没有法，企业就瞎搞。什么大数据呀？这些都是用户信用卡、云的、QQ群，还有WIFI的信息，是企业的吗？你把数据拿过来，又没有保护好。

我在外面的一些地方去看，比如香港、台湾、日本，我问他们，你这儿能用手机刷卡吗？不能。能在线做一些事情吗？不能。为什么？因为国外对个人的信息保护特别严格，拿用户资料去做些事情是不可能的。国内许多企业却把用户的信息拿去自己做，所有的企业往云这块走。如果用户意识不到这些东西是它自己的话，你可想而知企业会怎样对待这些数据。

当然，现在情况都在好转。企业对安全也在重视，安全人员年薪上百万很正常，公众也是越来越重视。过去，安全到底怎样是几个人说了算，谁嗓门大谁说了算。现在不断去讲，不断科普，于是整个行业就更开放，往更好的地方去走了。

方：没办法，挖漏洞是很技术性的事情。但是我可以跟用户讲，把这个很技术的事情跟用户讲得很清楚。一个企业的漏洞到底是属于企业，还是属于用户的？很多人觉得，漏洞属于企业，那是很早期的事情。比如，微软出了漏洞，那就是微软公司的，因为微软对它的软件有知识产权。但再往后发展我认为漏洞就是用户的，因为里面的数据是用户的。我们就决定让用户知道这个理念，现在这个观念会被越来越多人接受。

方：应该说没什么背景，那么为什么乌云没有关？其实是因为乌云是有价值的。如果没有价值，那早就关了。乌云是有争议，每天都有争议，对于黑产来说，每天都有人说我们做得不对，对于某些大企业来说，也总会说你这么披露安全问题是有问题的，所以每天都被DDOS，每个月总有那几天打不开了，也没啥。

也有很多乙方公司天天在后面批评。为什么？以前签一个项目，什么都不用干，卖点设备就行了，很好，反正政府、企业这类客户又不懂。可乌云来了，开始曝问题，交给企业，处理完还要公开，对于乙方公司就是个挑战。他会觉得你搞什么搞，一定会有这样的公司，以前那么好，躺着收钱。

方：根本原因在于你根本没做好。所以我们有没有争议？肯定有争议。

在甲方那里，乌云也有争议。再拿腾讯来举例子，它会觉得QQ群这个事情，我掩盖得多好，根本没有人知道。结果，过了一年，被人捅出来了。乌云怎么会没有争议？

方：对于腾讯这样的公司来说，它当然觉得不好，但是它的用户知道这个事情很重要，不然不会那么多人关心。

也并非所有的乙方公司都是痛苦的，传统的安全公司接项目是靠渠道、靠关系。结果，你在那里不干事，有人在干实事，那么干实事的就会受益于乌云平台。

政府也是的，有些问题自己完全推动不了，有个第三方来告诉你，我来帮你推动，而且我曝出来的问题每一个都是真的，不是瞎喊。

方：一个事情不改变，肯定有既得利益者，要往前推，肯定要损害很多人。有的甲方说我们是黑产，不好，但有的甲方挺高兴，把那些不干事的乙方或者员工都给我休了。有的乙方是不高兴的，但另一些做实事的乙方是高兴的。也不是所有甲方都是想掩盖问题的，只是他们之前听不到，现在听到了。

媒体上的任何话题，听到了以后都要想一想，他为什么这么讲。那些说我们有问题的，是不是他们本身是不健康生态的受益者？其实，真正靠技术有实力的乙方会觉得我们很好。

我个人很低调，除了一些会议上会讲技术，别的时候尽量少讲，做比说更重要。

方：现阶段，一个企业有没有SRC的区别，是“花钱的封闭和不花钱的封闭”的区别。他们有自己的出发点，我们也有自己的出发点。

方：我当时希望更多的问题和技术是公开的，所以内容上是有竞争的。企业愿意掏大价钱直接买漏洞，会吸引一些白帽子过去，这很正常。但其实我们和他们更多是合作，我们这边的漏洞，也都会报告给他们。

方：很少，许多同行都值得学习，但这种学习不一定是通过直接的交流。其实现在可以做得事情非常多，比如教育，如果大家都一蜂窝去做众测，我觉得有点浪费。

比如说一些其他众测的，虽然看起来都是众测，但出发点和目标不一样，结果就不一样。我们是希望做生态，我们希望众测是一种能够给白帽子提升价值的平台，给白帽子提供机会，并不是一个纯粹意义的商业平台。仔细一点的人可以看到到现在，乌云连一个商业广告都没挂过，包括我们自己的广告，因为我希望大家都简单一点。乌云的社区色彩很浓，是一个很自由的地方，像一个过时的、被淘汰的论坛。接下来我们和其他人的差别可能会越来越大，光看社区，不太能看出来，但产品已经区别开来了。

方：有，比如谷歌和微软，都和我们有过联系，但是因为语言的问题，沟通不太顺畅，就没有聊下去。像谷歌现在发现的漏洞都会公开，但国内的企业偏不学这些开放。日本那边对我们这种模式也挺好奇的，但是他们觉得虽然很新奇，在当地不一定行的通，我记得好像是说，在日本兼职是非法的。我们会持续把声音发出去，好不好、接受不接受是其他的事情。

“谁是白帽子？”

方：乌云应该是最大的，以技术分享为核心主动或者被动的涵盖了国内几乎所有的白帽子群体，这也是与其他平台的一些区别。具体总盘子，有人说不可能超过10万，我觉得5万也许都没有。

其它平台的运营数据我看不到，但是我相信不会很大。如果有些平台说我直接发钱，你到这里就发钱，那也拦不住对钱感兴趣的白帽子过去。但我相信还是用技术本身才能吸引到对技术本身足够关注的人。

方：本身我算的5万里已经包括了这些。当然5万不是统计数据，是我随便说的。我是从理论上去估算的。我上次去台湾，那里有两千多万人口，两三百个白帽子，也就是说每20万里面产生一个白帽子，他们没有我们这样的注册平台，都是松散的，两三百人，聚都聚不起来。当然，这还是一个互联网安全普及性很高的地区，不像我们中国还有广袤的农村地区。你可以算一下我们这里的情况，国内也就十几亿人。

方：我们尽量不去了解这些，大家搞安全的嘛，都希望自由一些，不太希望别人了解太多。

方：说实话，从地区来讲，北上广最多，还有一些二三线城市的，他们的人群无法统计，甚至也不知道这些人加起来超不超得过北上广，很多人不愿意去大城市。

方：其实不是这样的。信息永远是趋向透明的，不管谁都挡不了，互联网本质上就要一个一个行业去切，从金融到打车。安全是一个很传统的行业，哪怕它对互联网了解再多，都算是传统企业，互联网一定会切到这里。权威不权威，不是谁说了算的，互联网的模式就是用户说了算。所以，传统行业信任不信任众测，这根本不是问题。

方：浮出水面有很多方式，我们更愿意和企业当面去聊，这是建立信任最好的方式。当然，改变想法不是一朝一夕可以完成的，不是说你今天跟企业谈，企业明天就能改变的。我们本来以为三年能改变，没想到半年就能改变了，这比我们想象的速度会快很多。

方：我们一直在做这个事情。互联网很好，只要愿意交流，他们自己就能了解。我们没有刻意地去讲，但是对白帽子的印象已经改变了。还有一些人，相对来说思维固化，对互联网、新的东西都有些障碍，这必须通过不断地教育、沟通、才能改变他，要靠大家去做的。

我们到现在不会主动地去找人交流，但只要有人愿意，我们都会去交流。

方：其实很多人乐意展现自己，只不过是因为公司需要。个人做任何事情都有自己的考虑，我现在看到展示个人是因为被需要。

人进了公司一定会受到一些限制，现在还不到那个地步，想展示就展示。包括我愿意和你交流，并不代表我个人的意愿，但是我认为这会帮助更多人了解乌云。

当然，观点的展示是很有必要的，也是需要推进的。对于我们而言，最困难的在于接触用户，我们可以去努力，但是天生隔了一道。但对大众来说，他们很难去了解信息安全，一般人做不到。安在做的很好，让更多人了解到我们。

方：给白帽子评级，大家会认可他，但任何一个白帽子要达到高级别，都是要有内容和技术去支撑的，而且他们也不是不可超越的。同时，他也会把自己所掌握的技术对更多的人开放。

漏洞也有评级，但一个问题要讨论起来，永远是众说纷纭的。所以我们就定了个规则，根据是否能够低成本地影响他人数据，将漏洞分为高中低。如果能通过漏洞获取全部的客户数据，那就是高危，只是有一个技术上的漏洞，那就是低危漏洞。以前评价漏洞的危险程度，针对的是本地的软件，现在针对的是云上的数据。所以不能拿以前的那套东西去判断。

方：说实话，供求不平衡，这不是搭桥能解决的。比如，北上广绝对不缺职位，大公司多得是。北上广优先被吸引到大公司里面的，剩下的公司招不到人。互联网环境那么好，传统企业自己的人都往那里跑。当然，招到了也留不住。

但在北上广之外，二三线城市，他们不愿意来大城市，觉得在家挺舒服挺滋润，结果只有极少部分公司能找到人，需求大于供给。现在，白帽子可以挑企业，企业挑不到人。

这种情况在很长一段时间里会一直存在。所以就要做标准化培训，我在看，可是我们现在没有精力做。

方：以前经常有黑文写我，没有任何采访。这个真没法说了，反正要给我扣个大帽子。很早以前，没有这种白帽子平台的时候，各种培训机构太多了，黑白分不清，招聘一些小弟，教你攻击。黑客培训基地这种概念都是从那时候延伸过来的，就变成这样的情况了。好事不出门坏事传千里，很多“天才少年”的新闻就是这样出来的。

方：真的很重要，比如我们当时去学校里招人，根本招不到。当然，当时企业不太重视安全，没那么多职位也是一点。反过来，很多有安全技术的人没有机会做白帽子，所以走了很多错路。这么多年，整个形势变化了，现在是白帽子太少，企业需求太多。现在好多人都在解决这个问题。像呆神的“神话”，还有“i春秋”，都尝试用新模式做培训，各有特点。基于社区，我们也有所考虑，但看时间吧。

“合法还是非法？”

方：还好了。我们能发展成现在这个样子，一定是有人愿意支持。如果说碰到了危机，那就是损耗了某些人，但一定有别人愿意支持。

我不知道有个例子方不方便讲，我们之前报了某运营商的问题，结果人家把我们的网站备案吊销了，强势企业太不好惹了。2011年CSDN那个事情，也搞得我们网站上不了，当时正好过年，没时间运营，春节之后才开的。

出现这些情况，最开始我们尝试直接去联系国企，发现很难，现在慢慢也有合作。到目前为止，都是大方向不变的情况下，不断做些调整。还有些时候，是没法建立沟通，其实只要沟通上了，就没什么问题了。

乌云网站过一段时间就要挂一下，我们也没办法。现在服务器我们放在云上，百度云加速给了些支持，帮我们挡一下。所以还好。

方：没有。本质上，我们一定会公开漏洞，有些企业诉求是你把漏洞给我们删了，他们以掩盖问题为前提，表示要来告我们。我们早期请过很多律师，跟很多主管部门比如工信部有过沟通，他们对我们有一些建议，但是这个事情法律方面确实没有问题。

赵占领是我们的法律顾问，会帮到我们，让规则不断改进，很多人都给我们提过建议，包括主管部门，我们也会采纳。

方：我认为考虑做一件事情，先是价值，大家认可，就应该去做。公开、透明是一个最好的方式，我曝出的漏洞，肯定有论据支持的，不是乱讲的。如果我是在乱讲，那肯定有问题的，现在我要的是一个问题出来之后，人人可以参与讨论，形成这样一种公开的机制。你说用法律去判断，其实法律上也有很多地方讲不清楚的，现在呢，一个东西出来以后，你也可以讨论，我也可以讨论，如果大家一致认为这个东西有问题，就能去改正。

方：这首先牵涉到一个值得思考的问题，就是数据所有权也就是漏洞所有权的问题，你把用户的数据放在你的云上，你保护得很差，被人攻击了，合法和非法是不是要先从企业开始？以前，攻击是被禁止的，我的代码和图纸放在我的服务器上，所有的东西都是我的，有知识产权保护，你未经同意来测试，当然应该禁止，这我是认同的。但现在问题变了，你一个大公司，在云里面，哪一样东西是你自己的？其实全部都是用户的数据。就像说，我如果把你钱拿走了，那法律该怎么判就怎么判，可是现在都是用户的数据放在里面。

其次，测试和攻击要分开，攻击承担攻击的责任，测试承担测试的责任，不能混为一谈。企业觉得触犯了法律，可以主张，我们并没有说过，在乌云上做的所有东西，都是不能追究的。如果你企业说这是有问题的、非法的，你直接按照法律程序去做。

我们这个平台不是免责的平台。如果你去窃取了人家的数据，又把漏洞报在乌云上，这是两件事。攻击是一件事，报告漏洞在乌云上又是一件事情，后者我是绝对鼓励，是好事，但我并不认为你攻击这件事情是对的事情。企业一定有权力追溯任何使他受到损失的行为。企业也一定找得到攻击他的人，他可以走法律程序去追求窃取数据这样的行为，但反过来真正实行了恶意攻击的谁会在乌云来报告漏洞呢。

方：上面都是一些漏洞报告，只看结果。中国人喜欢去给人贴标签说是好人坏人，但我们认为只能区分事情是不是好坏，不能说给人下一个定义，说这个人是好还是坏。有些人一刀切，那这个逻辑就太简单了，报告漏洞这件事情无论什么时候都是一件值得鼓励的事情。

方：对，这件事情叫做白帽子行为，做这件事情的人，我们认为他是这个平台上的白帽子。但你不能简单把一个人定义为白帽子还是黑帽子，这就像现实生活中你把一个人绝对地定义成好人和坏人那样。也可能今天这个人干了白帽子的事情，明天干了黑客的事情。

我们自己懂的人，不应该把这个问题拿来讨论。白帽子就是发现问题向企业报告的人。这个行业是要靠大家争取、引导的。

方：针对漏洞发布是没有的，但是会针对他做的其他的事情。像以前京东事件，这个人不是因为曝漏洞被抓进去的，而是因为被京东认为是敲诈。这个一定要区分。

“从自由社区到商业化发展”

方：你可以认为乌云是一个类似NGO的组织，网站上有一些公共服务，我们和一些人合作，也得到了一些支持。乌云TEAM基本上都是兼职，大概有五六个人，都是最早的一些人，后面也加了一下人。

去年之前可能都是这样，但是14年4月份开始摸索商业模式，并非是乌云的商业化而是尝试在社区之外会有一些产品，一些品牌，像众测、唐朝巡航，这两个东西是作为商业化运营的产品，有一个独立实体。从自由社区，到商业化，我们会尽量做一些独立品牌。不过，多一个安全公司没什么，多一个乌云这样的社区，更有意思。

方：其实不是自己想出来的，我们只有六七个人的时候，有企业找我们说，你们这里发现我们那么多问题，你要给我们解决。我想，我怎么给你解决啊，我自己这摊事儿都忙不过来。过了不久，又来一个企业，说你要给我解决这个事情。然后我就想，那要是把那些白帽子对接过去，不就好了吗。所以2012年底，我们就开始尝试众测了，我们是国内第一个，更多是被推着做了这件事情。

一方面，我们解决不了他的问题，他的需求又合理，于是得想办法帮人家去解决。

另一方面，大家逐渐认可了白帽子，包括企业也过来找他们。白帽子发现漏洞，我们给不了奖励，最多给些小礼品。但是我们可以给他们机会啊，于是我们就正儿八经把这个事情拿出来做。这件事情自然而然就出来的。

其他人觉得乌云众测做得不错，也来做众测，但他们没有乌云社区这样的土壤，也许会比较困难。

方：对，是的。不过，一开始哪里想到是共享经济。众测对于我们而言，最大的意义是战略上的。我们的目的就是为了白帽子有更好的上升渠道，包括我们做招聘，也是不挣钱的，企业有需求，我就往社区上一扔。有了众测，给他们一个机会，于是越来越多的人黏在了乌云上面。

方：巡航这个事情怎么来的？也没什么高大上，有些企业要做众测，但费用非常少，而且这样的企业以后会越来越多。我就想，人不行（人工成本实在太高），就自动化呗，再推一个新东西。我们做每样东西都是觉得有必要、有需求，就是这样一个思路。

巡航是7月6日发布，现在社区、企业，商业模式验证都完成了。众测项目是这样运营的，我帮你找专家解决问题，可专家永远是有限的，需求却是很大的。于是我们通过专家的经验、智慧，提炼出来，把他们的智慧做成一个在线体检中心。这个体检中心不用靠人，能自动化地帮企业看很多问题。它的特点是及时、快、成本很低，不用靠人，但不是很适合做深入的工作，能够取代一些很枯燥、很简单的活儿。众测和唐朝，两者是相辅相成的。众测里得到的很多经验，都可以在唐朝里完成。

对于这个产品，我们还在摸索，也收到了很多的反馈。所以我现在的身份更像一个产品经理。对我来说，现阶段社区不是重点，众测也不是，唐朝巡航才是真正的重点。我需要解决产品的问题，然后把评价交给市场。

方：大约30人，包括平台的研发、众测的运营，加上做管理工作的，加起来大概有30个人。

方：我觉得首先我是很固执的。但是如果能证明你的建议真的重要，或者情况发生了变化，我是愿意随之调节的。但是有一点，初心是不能改变的。事实上，我们做任何决策，都是相关人员讨论之后，大家一起做出来的。

方：众测这种方式，本质上是不能成为商业模式的。因为，中国的安全服务需求很小，你要是把它作为商业推动，是支持不了发展的。众测其实是分享了传统的信息安全行业的利润，这一部分利润是很少的。就算这样的利润可观，也没办法成为一个商业模式，因为做事的不是你而是白帽子，你得给白帽子分成啊。你是抽流水，大约20%。就算产值一个亿，你才能抽多少。有些人本质上没想清楚，就觉得我要去搞，实际上是走不通的。

当然，众测必须是收钱的，因为它是有价值的，它能够维持我们团队的运转，但是它不能独立出来，不足以支撑我们公司。众测对白帽子是有意义的，有些白帽子挣得很爽，最好的时候一个月六七万，平时也有几万。在一个二三线城市，这个收入是非常可观的。

相比众测，唐朝巡航也许可能成为一个商业模式，只是可能而已，它投资小，是自动化的。虽然白帽子是有贡献的，但每个人的贡献占比都比较小。但众测不一样，白帽子是占大头的。所以纯粹做众测肯定不行，我们本身也不想和白帽子争利。但这个模式可以增强白帽子对我们的黏性。

方：其实并无太多的矛盾，乌云会保持现有的状态和遵循现有的规则，并不会商业化，但是我们团队自身会推出其他新的品牌和产品来，反过来反而会确保乌云能够长期运营下去。

对乌云，我们投入精力比较大。别人觉得这是一个很有价值的事情，对于我们来说，就是怎样让乌云走得更远。最初，大家觉得安全我不懂也不重视，这是一个阶段，乌云要做的就是把这个问题解决了，我们要把安全的重要性提上来。然后，企业就说，我意识到自己的问题了，要求你给我解决，解决不了，于是我们就求助于行业，引导大家去解决企业的问题。现在我们发现，人永远是有限的，众测模式的作用也是有局限的。因此我们就要更进一步，以商业的方式来做，于是推出唐朝巡航，它是可以更长远、更有生命力的。

我们从14年开始考虑唐朝这件事情，今年把它推出来。从那时开始，我们真正决定跟企业合作了，之前是没有的。之前这个社区是靠别人赞助支持的，但是这并非长久模式。因此，我们既要寻求商业模式，也要推动行业更好地解决问题。

我们尽量将产品和社区独立。比如我们现在跟CNCERT合作，人家就是要求不商业。有人说，乌云你帮我把这个删了，我跟你合作，我说这个干不了，合作可以，我帮你解决问题，但不能用这种方式去做。这就是非商业的重要性。如果有机会，我想去申请NGO，比如去香港申请，但是这是一件更复杂的事情。

说实话，正是通过自由社区，我们有白帽子的支持，所以机会合实力更多一些。比如众测，一年半的时间，给白帽子返了超过500万。这对于白帽子来说，很激发热情，因此更信任我们这个平台。社区和产品，既独立又彼此支持。

方：整个社区还很小，1万多不到2万人吧，具体数字也不记得了。

众测是有返利的，去年有500万，大概做了200多个项目。在乌云众测，小企业很多，有专业团队的大企业就比较少了，具体多少不知道，一个项目大概两三万，比较小的项目。

至于说受益群体，大约是1000多人吧，我也不是太清楚了。

方：不可能再放大了，人力是有上限的。行业本身的规模是有限的，每个白帽子的精力也是有限的，他们是业余来玩社区。同时，社区的大小也取决于整个行业，比如我们来算，一天能够支持一个企业，已经非常频繁，就算是这样，你说能有多大的发展。

对于我们而言，之后要做的就是：第一，如何对企业更好地进行价值输出，比如人的力量是有限的，我们就输出自动化的能力。第二，我们把社区做得更大些，提供更有价值的东西。

企业的需求会增长，虽然不会特别快。目前是供小于求，所以我要提高生产率，像唐朝巡航；还有就是培训更多的白帽子给企业，但我现在还没有做这个，需要探索。

方：有的。其实资本不看众测，他们都是冲着唐朝项目来的。

“乌云欢迎合作”

方：和政府有合作，他们很乐意支持。而乌云之外的产品，比如众测，纯粹一些，会和企业有合作。不过现在很多需求，基本上都是靠口碑传过来的。

方：其实我们考虑问题特别简单，首先我们有那么多白帽子，他们能发现政府、企业的许多问题。其次社区里的这些人凝聚起来，只要能让他们的能力产生价值，那我们就一定会去做。只要白帽子能成长，获得精神和物质上的回报，只要能够给他们创造机会，我不排斥任何合作方式。

方：我们没有什么限制，只要有机会，只要对白帽子有价值，对企业有价值，我们就会去做。白帽子们如果发现，原来我在学校就能挣个生活费，我在二三线城市就能过得很好，这就很棒了。

“关于未来”

方：从做事来看，规则会有变化，但我个人思想上还好。做社区是一种规则，做技术是一种规则，怎么在规则里面做事情，肯定还是一样。但我始终觉得，有些事情不能穿破底线，有些企业没有底线，那就不能合作。有些基本的规则和做事方法，还是得坚持。

不同阶段也有不同的挑战。早期做技术，到后面做社区，从技术转向运营，就是一个挑战。现在做产品，需要管理，又是个挑战。挑战来了，就去适应。

方：很多时候会觉得力不从心。大部分都是不适应的，但有问题的，就想办法解决，最后都能解决掉，这跟修炼一样。我们也踩过很多坑，太低估行业乱七八糟的东西，但平常心对待就好了。

方：自然而然吧。早些年做技术的时候，一年才两三千块，但你不能考虑那么多，觉得自己水平很高，只拿这点报酬很委屈。其实你在岗位上做得好，别人看到你的价值，报酬就自然提上来了。有的东西，是你的就是你的，不需要很多争取，把东西做好了，价值上面就自然成长了。不要把这件事情搞反了。

方：这事儿是急不来的，未来会遇到很多问题，但把问题熬过去了，自然而然就成了。我从来没有遇到什么问题是没法解决的。只要方向是对的，结局就会是好的。要一个人计划五年之后的样子是不现实的，两年之内是可以考虑的，也是可以为目标努力的。

方：其实我很简单。你去我们的团队看，都特别年轻，特别简单。不简单的人到我们这里来，反倒觉得很奇怪了。想得越是简单，做事情越是容易，如果想复杂就麻烦了，他会一直做权衡，最后就做不了了。

方：那是2010年左右，好多人在做云，用户的数据在云里面，对它的保护却很糟糕。这样的云是有问题，所以，就叫乌云吧。后来大家做了很多引申，比如说一旦乌云（来了），就要下雨了，大家该准备好伞了。

方：对未来的预期现在给不出来，明年这时候问我，我可以告诉你。