看完央视《我是黑客》（上），发现六个细思极恐的地方

在央视的街头采访中，人们对黑客的印象普遍很不好：

确实，生活中很少有人关注到白帽黑客的存在，了解他们用黑客技术默默守护着网络和用户安全的故事。

2011 年，曾任微软中国安全应急响应中心主要创始人和技术负责人、外号“大牛蛙”的黑客王琦在上海自立门户并创办了一个安全公司团队 Keen Team，这支白帽黑客团队后来在 2013 年国际难度最高、奖金最丰厚的黑客大赛 Pwn2Own 上一举攻破当时苹果最新的系统， 成为首个在 Pwn2Own 获得冠军的亚洲黑客团队。

自那以后，他们连年征战 Pwn2Own，不断收获骄人成绩。三年后，他们一跃成为 Pwn2Own 历史上获胜次数最多的亚洲团队。

王琦开始思考一个问题：为什么中国没有这样的平台让中国如此多的优秀黑客施展自己的才华？

2014 年 10 月 24 日，王琦创办的全球第一个关注智能生活的黑客大赛 GeekPwn （极棒）在北京举行。

以“黑客界段子写得最好的妇科圣手”闻名遐迩的腾讯玄武实验室负责人于旸，因其网名为 tombkeeper，又被称为 TK 教主。

他是第一个获得微软“漏洞利用缓解技术绕过挑战”全球 10 万美元最高奖的中国人，这个奖项设立之初就是因为他推演出可能对微软安全构成威胁的重大漏洞，而遗憾的是微软并没有把第一笔奖金颁给于旸。

不久之后，于旸又发现了一个新的漏洞，成为全球第二个获此奖金的黑客。

2017 年 GeekPwn 年中赛上，腾讯玄武实验室的年轻研究员展示了一种“新型手机病毒传播模式”，用 TK 的话就是他们“研究的是人的呼吸道黏膜是否存在某种脆弱性，可以被病毒利用侵入”。

白帽黑客不是在制造威胁，而是恰恰相反，如果他们不把问题提前找出来，有一天坏人发现了这些存在的漏洞，那么......

2014 年第一届 GeekPwn 在北京举行，没人知道这个黑客大赛究竟会走向哪里。

比赛当天，第一次做主持人的王琦突然被别人拉到一边：“咱们网断了。”原来，活动当天的网上直播被捣乱者黑掉，无法正常进行直播。

王琦态度倒是异常好：我就说谁要把我们黑了，你就来上极棒。

而在现场比赛中网络也频频故障，后来才知道是设备厂商关闭了服务器，导致选手现场演示不成功。

对黑客大赛的质疑、不支持与不理解始终伴随 GeekPwn 大赛和主办方，2014 年组委向比赛中出现的 13 家智能产品厂商发出邀请，没有一家亲临比赛现场。但是，也有少数企业在赛后第一时间通过不同渠道向极棒组委表示感谢，并及时修复漏洞。

王琦认真地说道：有时候这些白帽子真的只需要一个感谢。

相比之下，谷歌公司安全专家更是亲临比赛现场，全程观摩了清华大学网络与信息安全实验室主任段海新带领学生现场攻破了谷歌 Gmail 邮箱。

清华团队发现的并不是一家厂商或者某个设备的存在漏洞，而是被广泛信任并使用的安全加密传输协议 HTTPS 漏洞，可以造成非常大的危害。

段海新回忆道，谷歌安全负责人见到他时，第一句话就问：你们是怎么做到的？

段海新说：“我们相当于先于犯罪分子告诉你，你这个系统存在问题。没等那个犯罪分子去打破那个窗户跑到你家去把东西偷走，让你把这个漏洞给补上了。”

开赛以来，极棒一开始的 300 万奖金池目前已经提升为 500 百万元，以此吸引脑洞大开的黑客人才参加挑战。

过去四年，通过 GeekPwn 平台选手报告的存在安全问题的路由器品牌高达 17 个，超过一半为全球畅销品牌。

这仅仅是出现在 GeekPwn 比赛中的超过 100 个漏洞中的一部分。

随着越来越多的智能设备开始在生活中扮演了重要的角色，智能摄像头、Wi-Fi 路由器、智能保险箱、无人机、智能穿戴、智能烤箱等已经开始进入我们的生活。遗憾的是，这些不同类别的智能产品无一例外都曾被白帽黑客发现存在安全漏洞。

2016 年极棒上海站现场，美国天才黑客 GeoHot 也来到了现场。17 岁时，他成为第一个成功破解 iPhone 手机的黑客，并在成为破解索尼 PS3 第一人之后被推向风口浪尖。

他总是守着“不屈服”的执念，一次次完成看似“不可能”的挑战。2015 年，他开始研究无人驾驶，并向特斯拉发起挑战。

2016 年身患恶疾的美国大学生 Stephen Chavez 也出现在 GeekPwn 现场。

仅能用电脑与大家交流的他，演示了如何黑掉智能轮椅。由于现场环境不稳定，他的挑战一开始并没有成功完成，但是他一遍又一遍地尝试并在最后时刻成功控制了另一辆轮椅。

在大三那年选择暂时离开学校的“烧鸡”是个不折不扣的极客，他能用 3D 打印出的控制器远程遥控自制机器人完成了极棒“机器人挑战赛”。

挑战要求伪装成快递包括的选手自制机器人完成办公室入侵，并打开电脑、插入 U 盘、窃取隐私的场景。

“极棒比赛的目标是要寻找不断打破人类想象力的那个‘第一’。”大赛创始人王琦如是说道。

面对今年五月份举办的极棒年中赛，组委一共来自全球的收到 50 个报名。赛前，组委们开会对项目进行统一评分和讨论。

极棒的评委无一不是业内知名的专家、学者，他们“不是第一，就是唯一”。

参加会议的有前文介绍过的第一个获得微软全球安全挑战赛最高奖的中国安全研究员于旸，

第一个登上世界顶级安全学术会议发表研究成果的中国研究团队领队韦韬，

中国网络安全界元老级人物被称为微软操作系统安全第一人袁仁广，

第一支闯入全球顶级网络攻防赛总决赛的华人团队领队诸葛建伟，

中国第一个苹果手机越狱团队“盘古”的主力研究员徐昊，

2016年微软全球黑客贡献榜华人排名第一的中国安全研究员屈波，

第一位在世界黑帽大会发表系统安全演讲的中国安全研究员王宇，

中国最早的黑客联盟之一“中国鹰派联盟”创始人万涛，

极棒活动发起和创办人、第一个获得世界顶级黑客大赛冠军的亚洲团队碁震团队创始人王琦。

评委们陆续讨论了又出现的十几款路由器项目、涉及用户隐私信息泄露的共享单车项目......最终有 28 个项目入选。

王琦说：“第一届极棒的时候，我们就希望出现一个扫地僧，就像那种一个外卖小哥，白天工作，晚上是个极其牛的黑客。”

【推荐阅读】

◎◎◎◎◎