聊呗逾期了怎么解决,白帽子 黑客

“乌云社区”的创始人方小顿。5年来，这个他一手打造的社区吸引了国内几乎所有的顶尖黑客。(图片由“安在”提供)

本报记者 张小叶

大约在10年前，17岁的高中生杨蔚开始经营自己的第一门生意。两台电脑，一根网线，几个合伙的同学，杨蔚的工作室就开张了，业务范围是倒卖游戏装备和QQ刷钻。

这份工作需要的技术含量不算高，但竞争者甚多。对出生在湖南湘西小县城的少年杨蔚而言，这是他接触技术世界的缘起，还给他带来了一些收入:在工作室解散以前，杨蔚靠这些“业务”赚了好几千元。

10年前，整个中国网络安全的法律边界尚未确立，一个小县城的少年又如何知道，黑客是什么? 怎么做一个好的黑客?

几乎在同时，一个比杨蔚大不了多少的年轻人正在思考如何改变这一切。他叫方小顿，1987年出生，15岁考进大学，21岁进入百度安全部门工作。两年之后，他创建“乌云社区”，这个自由社区吸引 了国内几乎所有的顶尖黑客，并迅速成长为中国最大的互联网漏洞报告平台。它不仅推动了中国信息安全的进程，使几乎所有互联网使用者直接或间接地从中获益，而且改变了万千像杨蔚这样年轻黑客的命运。

方小顿:“乌云来了，要下雨了”

即使是最普通的、对信息安全一窍不通的用户，也或多或少听说过“乌云”这个名字。成立5年来，超过1万名漏洞挖掘者累计在乌云公开了3万余个漏洞，其中一部分足以在网络上掀起轩然大波。2014年，乌云先后曝出腾讯QQ群关系数据泄露、携程信用卡信息泄露、12306密码泄露和联通系统漏洞，这使乌云在名声大噪的同时饱受争议。在许多人看来，乌云就像是一个手持利剑的搅局者，剑指之处，山摇地动。

相比乌云，创始人方小顿的形象却出乎意料的简单。28岁的他，留着中长发、戴眼镜、蓄着胡子，一看就是“热爱摇滚的技术青年”。事实也是如此，方小顿崇尚技术、热爱音乐，并刻意通过不同寻常的打扮，将这种内心的喜好直接展示于人:“如果真的有人因为我的打扮觉得不舒服，那就直接不聊呗。我倾向于让事情变得更简单，拐弯抹角的就不好。”

2010年，方小顿曾跟随百度的CEO李彦宏去了“天天向上”，并在节目中高歌一曲 《一无所有》。这是他首次在公众面前亮相，也成为日后圈内人聊起他必提的轶事之一。但方小顿本人却从来没有回头看过这档节目:“了解我的人都说，台上的我和平时相差不大。当时也没有准备或者排练，说让我上去唱歌，我就上去了，心想就算唱砸了不是还有后期吗?”

大概只有心思剔透的人，才能创造出乌云。直到现在，乌云仍然以自由社区的形式存在于网上:页面干干净净，漏洞按照发布、确认和公开等不同阶段，以列表的形式排布于首页上，除此之外，这里看不到一个商业广告。“像是过时的、已经被淘汰的论坛。”方小顿如此形容。

这正是他多年前构想的乌托邦的模样。让他欣慰的是，5年过去了，初心仍未改变，正如社区对自己使命描述中所强调的:“我们尝试唤回大家对技术的尊重，乌云将跟踪漏洞的报告情况，所有跟技术有关的细节都会对外公开。”

几年前，这种对漏洞的公开行为被企业视为一种冒犯，但这两年，在乌云的不懈努力下，它已经渐渐变得可以被接受。行业的封闭正在被打破，信息安全也因此得到了前所未有的重视。

这一切来之不易。方小顿不会忘记自己刚刚工作时，一个安全工程师的处境是如何艰难:站在企业的角度，安全是成本、是限制，它不产生效益。企业的管理者自然希望每一年都风平浪静，可是当真的什么事情都没发生时，他们又会质疑安全部门是不是无所作为。而安全工程师的贡献更是无法衡量———“第三方的安全厂商永远说你的工作做得很糟，当然是这样，否则它的产品卖给谁? 和同类型的公司对比也是不现实的，因为任何一家企业都不可能对外公开自己的安全状况。”

行业无法进步，也是黑产横行、黑客肆意攻击的根源。在那个时候，任何人发现漏洞，上报给企业，不仅得不到奖励，反而会被企业威胁，因为企业将这种“未经授权的测试行为”视为“非法攻击”。因此，越来越多的漏洞流向地下黑市，通过它们，犯罪者可以窃取大量的用户信息，并以此牟利。

随着互联网爆发式的发展，越来越多的人将日常生活的信息搬到了网上，但信息安全的发展却被锁死了———就像一个日益丰富的宝藏，却没有安装相应级别的安保系统。

高墙重重，但仍有间隙，程序员的技术交流是唯一的突破。那时，各大企业的安全工程师彼此相识，并在QQ群里无私地共享、交流技术心得，方小顿就是其中的积极分子。后来，他和朋友在北京的酒仙桥一带开了一个黑客酒吧，作为线下交流的活动场所，同时也是表达黑客存在和价值的一种方式。但这些远远不够，他在寻求更行之有效的方式改变这一切。

2010年，乌云社区诞生。在云概念刚刚兴起的环境下，“乌云”这个名字显得意味深长———保存着海量用户数据的云，却得不到很好的保护，这样的云不是纯洁的。

真正的挑战者出现了:乌云来了，要下雨了。

杨蔚:“白帽子的伟大理想”

而对于杨蔚而言，2010年是比较特殊的一年。他的工作室因为利润越来越薄，终于解散，同时又遭遇了高考失利。心灰意冷的杨蔚决定离开老家去外面闯一闯，他在珠三角的几个大城市里辗转，四处投靠老乡，投递简历。到了这时，杨蔚才感觉人世艰险，只有高中学历的他在大城市里几乎难以谋生。碰壁多次，终于找到了一份和计算机沾点边的工作:去电脑城给别人装机，月薪2000元。

这份工作和想象中差距太大了，也养活不了自己，杨蔚没去。他最终去了比亚迪工厂，在车间里做流水线工人。

流水线上的劳动既漫长又枯燥、周而复始，杨蔚知道自己不属于这里，周围人也觉得他眼高手低、格格不入。那几个月，他在大城市的最底层游走，体验人间辛酸，每一天都更坚定要逃离的心。终于熬到夏末，父母托人给他找了个大学，杨蔚如释重负，回到了长沙，烫了个头，作为新生活开始的标志。

重回校园，本应好好珍惜，但杨蔚拿到课表后，顿时眼前一黑:“因为计算机专业的学费太贵，我就看名字选了机械工程，本以为和计算机沾点边。结果机械工程居然是制造业，毕业后还是去车间工作，和之前一模一样。”而此前，他已经下定决心绝不回到“传统的、固化的、一尘不变的”制造业中。

在学校里，杨蔚仍然是一个异类。他买了电脑，通过搜索引擎和安全论坛自学技术，关注信息安全产业的动态，此外，他最喜欢看行业内已经被“封神”的黑客自传和经历。

印象最深刻的是方兴的自传，杨蔚是在被窝里一口气看完的。方兴充满传奇的经历，是中国早期黑客的典型代表:他出身微末，从保险公司的出单员做起，几乎靠着完全自学的方式，考出高级程序员证书，掌握各种计算机语言，一路修炼成攻防高手。他历任启明星辰、EEYE和微软的安全专家，是第一个登上微软BLUEHAT安全大会演讲的中国人，后来又创立了国内第一家专注于对抗 APT(AdvancedPersistentThreat，即高级持续威胁) 攻击的安全公司瀚海源。

杨蔚从别人的故事中汲取信念和力量，同时也被他们的选择和善恶观所影响。方兴说自己不是黑客:“如果黑客说的是控制别人电脑、以漏洞来牟利的那种人，很显然，我不是。”在这样的故事中，杨蔚看到了真正的守护者和“黑客精神”是怎样的，也下决心要做这样的人。

这时，一个机会来了。有个同学对他说，杭州有家企业在招计算机技术人员，可以帮忙推荐。杨蔚想去搏一搏，他与父母长谈一次，坦诚了自己的志向，随后去办理了退学手续。就这样，重返校园不过一年，杨蔚又回到了社会上。

在他原本的构想中，自己可以从一个普通的程序员做起，一步步向安全领域发展。可现实比他想象得要残酷，介绍人没能帮上忙，他再一次飘无定所，租房、吃饭都成了问题。几经辗转，他在数码城的手机店找到一份活，卖手机，每天工作12个小时。杨蔚唯一的要求是:“生意不忙的时候，让我用店里的电脑上上网吧。”

在这个时候，他接触到了乌云。彼时，乌云正身陷创立以来最大的危机中，因为曝光了中国最大的-T技术论坛CSDN的漏洞，网站遭到疯狂攻击，关闭了将近一个月。再度恢复后，又因为曝光了某运营商的漏洞，被对方直接注销了网站备案。

那个时候，企业觉得网站漏洞这种事情是“家丑不可外扬”，没有靠山的乌云随时面临关停的危险。就在这种风雨飘摇的环境中，杨蔚慢慢成长为乌云最核心的“白帽子”。他一度不被承认的才能，在这个社区里得到了展现和认可。他比以前更加忘我地投入了“挖漏洞”的事业中，在白帽子当中的积分和排名也直线上升，最高时冲到了第二:“冲榜单是一件很刺激的事情，你会发现自己在挖漏洞刷积分的时候，别人也在这么做。”

那个时候，白帽子杨蔚的伟大理想，是把厂商列表中的所有企业挖一遍漏洞，就像小孩子集齐一套闪卡那样。那时，中国的互联网企业才数百家，实现这个愿望并非不可能:“这也是每一个白帽子梦寐以求的成就。”

2012年，因为发现了腾讯的漏洞，他结识了腾讯安全部门的负责人，对方把他拉进了一个QQ群，群里全是“传说中的人物”。就在两年前，杨蔚是看着他们的故事熬过现实中的失意和挫败的，如今他终于跻身为其中的一员。这个江湖人人都有代号，他的代号是“301”———来源于他在某个安全群的编号，后来就沿用下来。

同一年，杨蔚得到了一家知名安全咨询企业的认可，企业的老板问他有没有兴趣来上班。于是，22岁的杨蔚终于实现了最初的梦想，真正意义上进入了安全行业。

乌云:“无所畏惧的理想主义”

方小顿和杨蔚，天各一方、经历迥异的两个年轻人，也因为乌云有了交集。方小顿的代号是“剑心”，杨蔚也习惯以此称呼他:“剑心喜欢和我们这些白帽子聊，在这种交流的过程中，乌云渐渐变成了现在的形态。”

在白帽子们的建议下，乌云设立了“集市”。提交漏洞攒下来的积分可以变成“乌云币”，并在集市中购买物品，1个“乌云币”相当于10元人民币。杨蔚还记得，乌云集市推出的第一个商品是一台iPhone5，当时遭到了白帽子的疯抢，价格水涨船高，最终被人以950乌币的价格拍走了。“就相当于用9500元买了一台iPhone5，但那个白帽子感觉特别光荣，拿去给自己媳妇儿用了。”杨蔚说。

事实上，白帽子的价值，远远不止一台iPhone5。尽管乌云对漏洞的强制曝光令厂商不快，但后者终于从中认识到安全的重要性，渐渐地，开始有小厂商找到他们:“我们没有安全部门，养不起专职的安全工程师，能不能把这块工作外包给白帽子，请他们定期来为我们做漏洞的扫描和监测?”

乌云的商业价值开始浮出水面。从2012年起，“乌云众测”正式向公众推出。3年来，超过200个众测项目在平台上进行，白帽子们总计获利超过500万元。如今，一个在乌云上水平较高的白帽子，通过合法的、有偿的漏洞测试，能够月入数万。

方小顿说:“你会发现，在媒体中曝光的黑客群体，大多是‘三线城市的、高中没毕业的天才少年，，他们算是有点技术，但业内的人一看，这种技术也算? 为什么是这样? 因为大城市里一流的技术人员能够找到很好的工作，如果你的技术被认可、收入又高，谁愿意去做坏事? 相反，如果他得不到周围人认可，日常开销也难以维持，又没人引导，他能去干什么呢?”

业内有一句话:“乌云之前，全是黑的。”乌云带来的暴雨，一点点地冲刷了行业的阴暗面。方小顿的初衷原是为了帮助像自己这样的安全从业者，却无心插柳柳成荫，大量黑客在这里“上岸”，安全工程师的身价水涨船高。如今，在乌云上提交过漏洞，甚至成为不少企业招聘安全工程师的前置条件。

“2012年，我从百度辞职，专职运营乌云。回头看这个选择，损失极大，仍然留在大公司的朋友现在都已身居高位，身价高出我几倍。”方小顿说，但倘若没有乌云，你很难说这个行业会怎样发展。腾讯玄武实验室的创始人，被业内尊为“黑客教父”的于旸说:“从这一点上，所有安全行业的从业者，都应该感谢乌云。”

即使是最普通的互联网使用者也受益于乌云。这几年利用互联网漏洞牟利的“黑色产业”之所以减少，原因无非是两个，都与乌云的出现紧密相关:一是企业的保护越做越好，攻击成本越来越高，黑产渐渐无利可图;二是随着白帽子的价值越来越受重视，没有人愿意回去做黑客了。

争议仍然存在。比如，白帽子未经授权的测试是否合法，仍然没有定论。对此，方小顿常说的一句话是:“这个时代，很多企业把用户的信息保存在云上，却保护得很差，那是不是应该先来探讨这个行为是否合法?”如他所说，封闭永远无法解决问题，只有把争议的部分拿出来公开讨论，才能取得共识和进步。

进入安全行业后，杨蔚一有机会就向怀有成见的企业解释乌云的价值。2013年底，方小顿找到他，邀请他以合伙人的身份加入乌云，负责“乌云众测”项目。杨蔚欣然接受，在这个改变了自己命运的平台上，他要改变更多人的命运。

随着乌云的名气越来越响，有些前来众测的企业也怀着其它心思:“我出钱请你们做众测服务，你们要删除我们网站的漏洞。”按照社区的规则，一个漏洞的公布周期一般为45天:前5天，向厂商公布，10天后向核心及相关领域专家公开;20天后向普通白帽子公开;30天后向“实习白帽子”公开;45天后向公众公开。5年来，“不删除任何漏洞”是乌云严守的底线———哪怕在企业接受众测的过程中，被众测团队以外的白帽子发现并提交了漏洞，对此，杨蔚和他的团队免不了要去向企业一一解释。

令所有白帽子欣慰的是，乌托邦因商业兴盛，却没有受到利益的污染，直到如今，这条“铁律”仍在坚守。

“他是一个精神至上的人，因此他才不会被柴米油盐所左右，并把这种理想主义的东西坚持下来。”方小顿的朋友、信息安全媒体“安在”的主编张耀疆这样评论方小顿。

现在，方小顿在不变初衷的前提下，想要带领乌云走得更远。从商业化角度来说，乌云众测并不算是一个成功的产品:首先是需求有限，每个众测项目的规模都不大，成交额约在2-3万元，需求在可预期的范围内不会出现爆发式的增长;乌云只抽取很小的一部分作为分成，所得利润只能够维持社区团队的日常运转。方小顿和他的团队将这个项目看作是乌托邦的延续:“只要是有利于白帽子的事情，我们一定会去做。”

相比起来，去年12月推出的“唐朝安全巡航”，才被赋予了真正商业化的期待。这个安全巡航系统像是一个体检中心，由白帽子添加检测规则和策略，企业可以通过它进行安全漏洞的监控、检测和扫描。作为一个自动化的漏洞扫描系统，“唐朝安全巡航”可以低成本地完成许多日常的漏洞检测工作，同时，它会在众多白帽子的维护下变得越来越强大。

自乌云创立第一天起，方小顿就严肃地考虑过它的命运，无非两种:存在，或是死亡。“如果是后者，那就说明这个理想是行不通的，这个方法是不被允许的。”那怎么办?“找别的方法呗，可以做的事情那么多，我不会在意一次失败。”

正如张耀疆评价的，方小顿拥有真正的、良善的“黑客精神”———“这种精神无关于物质、无关于现实，是一种简单纯粹的理想主义。正因为他把一切都想明白了，知道什么是对的，也知道自己要做什么，因此才能够无所畏惧。”

名词解释

“白帽子”:正面的黑客，他们拥有识别计算机系统或网络系统中安全漏洞的能力，但并不会恶意利用，而是选择通知企业修复漏洞、修复后最终公开细节。

“乌云”:乌云网 (WooYun)目前是中国最大的互联网漏洞报告平台，这个平台上汇聚了国内几乎所有“白帽子”。在乌云出现前，厂商与“白帽子”缺乏平等的交流:“白帽子”发现网站的漏洞后无法联系厂商，厂商也无暇寻找散落在互联网各处的漏洞信息，导致一些漏洞无法得到及时修复，最终造成损失。乌云鼓励“白帽子”采用合法的方式、手段和工具研究并提交厂商的漏洞，经平台审核后，关于漏洞的一切细节将对公众公开。

漏洞报告平台机制的确立，极大地推进了互联网厂商对信息安全的重视，也促使万千黑客“上岸”，成为收入不菲、受人尊敬的“白帽子”。这个在争议中不断前行的网站，最终打破了信息安全的封闭状态，并在某种程度上改变了中国互联网的环境。