陽光下的黑客：90后是主力，法律意識是必修課

這個在這個浮躁社會中，財富能力、社會地位、顏值、情感……等等「成功」標籤，正在固化無數奮鬥在大城市人的終極夢想。

然而，有那麼一群人，沒掙到多少錢，卻費了不少力、吃了不少苦，他們並不刻意去追求社會的普世成功，卻在自己熱愛的領域，做出了世人可能並不知曉，但絕對意外的成績。

劍走偏鋒，自繪人生。

92年、95年、96年，當三位出生在上述年份的年輕人坐在記者的對面時，記者怎麼也無法將他們的形象和職業聯繫起來。兩個臉色略白的大男孩，一位笑容甜美的女孩，看起來與同齡人並沒有什麼不同。採訪剛開始時，他們很是緊張，頻頻摸著自己的額頭、在桌子下面搓手。

他們三人都是或曾經是黑客，白帽子，黑客。

▲三位記者看到這個畫面驚呼：好強好神奇！這是幹啥呢？衰大：我就找個word……

帽子的顏色

「黑客」這一辭彙來自於英文Hacker，泛指擅長IT技術的人群、計算機科學家，簡單而言可以理解為「電腦高手」。在部分地區也會音譯為駭客。但無論是「黑」、「駭」、還是英文「Hack」，都會讓大眾對黑客這一神秘群體有一種負面的印象，究其本意，只不過是技術、手法和思維高超而已。

在時代飛速發展的今天，越來越多的人打開了自身信息的大門，擁有屬於自己的數據空間。而這扇大門的「鎖」卻並不結實，導致個人隱私泄露、權益受到侵害的事件頻有發生，個人信息成為了許多不法之人牟利的手段。因此，網路信息安全成為擺在世人面前的重要問題。

從技術上講，有時發現漏洞、驗證漏洞的過程，與利用漏洞進行破壞的原理並無二致。不同之處在於，尋找漏洞的初衷以及最終結果。這也是為什麼後來在黑客中有了白帽子、灰帽子、甚至黑帽子之分。

補天漏洞響應平台在今年年初發布的《2016年網站安全漏洞形勢分析報告》中指出，截至到2016年11月15日，全年遭受到漏洞攻擊的網站共計63.6萬個，平均每月有14.3萬個網站遭遇各類漏洞攻擊。同期，共有2362名白帽子向補天平台提交有效漏洞37188個，其中公有SRC（應急響應中心）收錄32277個，私有SRC收錄4911個。

這兩千餘位神秘的「白帽子」，就是我們走近的對象。據補天方面透露，他們當中年齡最小的年僅14歲，讀國中；年齡最大的已經66歲，已退休。

整體而言，「90后」是這個目前是白帽子的絕對主力，占白帽子總量的70.7%——我們選擇了三個年輕人，試圖「復原」他們如何成為「白帽子」的。

▲三個「同事」第一次「同框」

ID：衰大，在補天排名中位列第15名，在其所屬的POI團隊中位列第二。公開的已知數據顯示，從2015年1月份至2016年7月份，他共提交了近300個安全漏洞，覆蓋一些人氣頗高的視頻網站、遊戲網站等等。而現實中，他今年24歲，是個烏魯木齊小伙，在家鄉某家公司做網路安全相關工作，利用業餘時間在網路世界中尋覓有價值的各種漏洞；

ID：麥香濃郁。身上聞不到麥香，但是氣質挺濃郁的一個95年小伙。曾是一度叱吒的白帽子黑客，如今是360補天平台的工作人員，主要負責對白帽子提交的漏洞進行審核；

ID：思思。在這個圈子裡，女黑客可是珍稀物種。提起她們，很多人腦中都會有非常朋克的腦補畫面，和這位笑容甜美的大四妹子搭不上一點聯繫。

她的夢想是組建一支女性白帽子天團，讓這個行業的從業者走到大家面前。

神奇的機房

第一次接觸網路安全的知識，可能是在書本，可能是在屏幕，可能在手機。但那第一次的「小興奮」，往往是在學校的機房。

衰大回憶：第一次「Hack」是因為當時上課，老師教我們java開發。一開始的S1、S2課程都是給我們PPT可以回寢室複習。後來S3了，告訴我們說他的PPT有版權，就不分享了，讓我們老老實實聽課。

「不給就不給唄，一開始是這麼想，但回去一查資料就發現可以做出一個提權，發現竟然把整個機房給控制了。」衰大回憶，當時的感覺有些小興奮，小意外。

在麥香的口中，適用的場景則更加「生活化」：「在學校的內網試試各種東西啊……改改水卡啊、飯卡啊……什麼的。」但他有些支支吾吾，讓人感覺還有很多事迹想講但是沒講。

▲在此次採訪前，三人從未在現實中見過彼此，僅有「網聞」

事實上不僅是黑客，當今很多互聯網行業的企業家、學者、名人，第一次真正體驗到IT技術在網路安全方面的威力和刺激，都是在機房。就如很多畫家、作家都是從書架、畫室中走出來的一樣，機房有著特殊啟蒙的意味。

其實，這個小空間也不過是大學這個大環境中的一角。

在知名的黑客圈子中，海外不乏高中成名、大學輟學的人物，在國內學歷為中專、職高的高手也大有人在。於是乎給外界造成一種錯覺：一個厲害黑客不需要在知名的學府中完成系統性的教育，「野路子」就是好路子。

三位白帽子並不這麼看。

「事實證明，能夠考上名校的學生，他的學習能力和對新事物的理解能力普遍更強。」麥香從他接觸黑客的經驗角度講到，一個優秀的學習環境和靈感激發環境對任何類型的創造都極其重要。

另一方面，從白帽子的角度上來說，高校環境內也更容易孕育堅定自覺的法制理念和道德準則。對這個行業來說，此兩點尤為重要。

▲麥香已有了新的道路，而衰大始終都在思考自己未來的轉型

法律意識是必修課

一個假設：如果把一家公司的網路安全套用到現實中來，比作一把鎖。一個對鎖有著極高專業知識的人，在你晚上回家正熟睡時開鎖進入，逛了一圈，然後放了一張紙條說：你家鎖不結實，找我可以給你優化下。

一個問題：等你真見了這個人，是上前去諮詢鎖的事，還是報警？

「技術是中立的，但當技術遭遇法律，當技術帶來了法律所不允許的風險的時候，那麼技術的運用就不再是中性的。」在不久前，由360安全應急響應中心「IoT安全守護計劃」發布活動中，北京金杜律師事務所律師陳聖如此總結。

的確，從技術上來看，在尋找一個網路安全漏洞並且證實漏洞存在的過程中，距離利用這個漏洞進行破壞或者竊取僅一步之遙。一位擁有強大技術能力的黑客是否越線，不僅決定了這一刻「帽子的顏色」，更直接關乎是否碰觸法律的底線。

麥香表示，從技術手段來看最重要的就是流量和數據。驗證一個漏洞的危險等級有時會使用部分模擬手段，獲得的數據和流量，必須要按照我們這個業內公認的安全手段進行加密，並且及時向平台進行報告。

衰大也認為，必須要始終把法律的紅線懸在腦中，補天平台的法制課程培訓雖然不會給自己的技能帶來什麼新思路，但強化了自我保護意識，不敢馬虎。