2005年,还在读高二的罗清篮获得了第二世界全国青少年科技创新大赛的一等奖,从中国科协主席周光召手中接过了奖杯。他获奖的项目名为“最新首创-进程级病毒木马拦截授权技术”。
11年过去了,罗清篮现在已经成为了一个信息安全领域的创业者。2014年底,他的公司获得了软银中国的投资——据媒体报道与罗清篮的自述,首轮融资就高达500万美元。此后,罗清篮推出了“漏洞银行”,这是他们公司最为知名的项目。
![]()
罗清篮经常被外界称为生于“黑客世家”——他在接受媒体采访时多次讲过,他家中的长辈是国内第一代安全公司的创始人。而这位他不愿透露姓名的叔叔,是罗清篮在信息安全领域的启蒙导师与领路人。
罗清篮自称,他小学时就开始研究技术了,“逆向过CIH病毒,用WPE修改过游戏封包,用Softice动态调试过破解软件”。他表示,在获得了青少年科技创新大赛的一等奖后,曾经有机会作为保送特招生进入上海交通大学。但最后,他选择进入分数线相对较低的东华大学。对此,他的解释是,中国信息安全元老曹奇英教授在东华大学,“追随曹老师是我一生做的最正确的决定之一。”2015年12月,在曹奇英教授的指导下,毕业5年的罗清篮率队,以“首创互联网安全云SAAS平台”的项目,获得了首届中国“互联网+”大学生创新创业大赛的银奖。这是他的又一次“首创”。
与不少成名黑客相似,罗清篮说,自己在学校里的时候,几乎将全部的精力投入到攻防技术上。与此同时,他也有了明确的职业规划:开公司,创业。大二的时候,他成立了一个名为“大学网络协会”的社团。2009年,才读大三的罗清篮从社团里选了一群伙伴,开始了创业之路。
![]()
罗清篮此前对媒体透露,他们创业初期的第一个产品叫“WEB宙斯盾”,是装在主机上的软件应用防火墙(WAF)。在接受大智慧阿斯达克通讯社记者采访时,罗清篮说,在2010年前后,360曾经接触过他们并表达收购意向,希望通过他们的WAF产品进军企业安全市场。罗清篮表示,360的WEB安全专家赵武对他们进行了技术考察,与360VP谭晓生的交流也非常愉快。
不过,这一收购意向最后并未落实。对这个结果,双方的说法并不完全一样。罗清篮表示,“后来之所以谢绝了360的邀请是因为感觉我们还想自己尝试创业,毕竟没有体验过九死一生的感觉,想要在年轻的时候多体验下。”但他提及的360方面的负责人表示,自己对这件事情并没有印象。
无论实际情况如何,并未与360达成合作的罗清篮在2010年一度举步维艰。他告诉安在记者,公司一度陷入工资发不出、房租交不上的窘境。所幸,在2011年,他们获得利物盛集团投资,创办了上海利物盛网络科技有限公司,逐步走上了正轨。经过几年的努力,这家以网络安全为主业的公司已经获得了包括大众点评、1号店等重要客户。
2013年底,罗清篮从“乌云”的运营模式中获得了启发——当时,乌云是业内“白帽子漏洞提交平台”模式的首创者。
罗清篮发现,乌云的模式尽管帮助企业与白帽子达到了双赢,但仍有可改进之处:一方面,乌云公开企业漏洞的模式会让企业很不满意;另一方面,罗清篮认为,乌云在对白帽子的管理上仍有可提升之处。基于这两点考虑,一个“漏洞银行”的点子浮现出来。
经过一年多的考察,漏洞银行平台在2015年初内测上线。
![]()
这一平台的主要特点有二:首先,平台上的白帽子们仅对开放授权的企业进行漏洞测试。这一做法规避了法律风险,让白帽子得到更大的保护;另一方面,白帽子也必须向平台提交自己的身份及IP信息作为备案,确保测试漏洞过程中的每个动作都可以溯源。“这样,企业也不用担心白帽子找到了10个漏洞,只拿7个出来,另外三个留着自己牟利。”
罗清篮的主营业务也与漏洞银行形成了联动——他们可以通过自身的技术知识与引入的第三方安全专家,对白帽子行为进行监控,这种监控能够有效消除甲方企业对白帽子的恐惧,“我们打造了一种很稳固的体系,这个体系会减少很多未知的恐惧。”
漏洞银行建立之后,也受到了不少质疑——有质疑者称,漏洞银行一度存在将并未授权的公司作为客户展示的现象,还有白帽子声称自己并非漏洞银行的注册白帽子,却被列入了排行榜。
对这些“语焉不详的指控”,罗清篮表示自己并未看得太重:“我从小就是这样,很多人反对我做一件事情,反对了很多年,但是最后我还是做成功了,我一点都不畏惧反对的声音或者是被黑这件事,无所谓的。我也不会去很在意这方面。”
当然,他也承认,一个平台在不断发展过程中,必定带有试错的过程,“这些试错带来的负面消息其实反而是有利于平台发展的。我们在得知这些负面消息以后,在第一时间建立了自身的反省和纠错机制,来不断优化和改进平台的规则和功能。”
在之后安在的访谈中,罗清篮一一回应了对“漏洞银行”质疑。
安在:怎么想到做“漏洞银行”?
罗:其实是基于乌云模式的启发。我们在做“漏洞银行”之前很长一段时间,曾经发现了很多企业的漏洞,包括淘宝的漏洞。我们也成立了一个平台叫做“bugwe.com”,尝试做一些漏洞通告的事情:当我们发现了漏洞,直接去通知企业,不曝光。
我个人也发现了乌云的一些缺点:一方面是曝光问题,曝光企业漏洞,企业就会很不满意;第二就是他们的白帽规范做的还不是太到位,有弱点。我们当时就想,能不能解决这些弱点问题,去做一个更好的平台?所以就有了做“漏洞银行”的想法。我们是从15年5月开始做漏洞银行,内测差不多有一年的时间,这一年我们都没有去做推广,完全是在内测。
安在:“漏洞银行”在你看来是一种什么样的性质?
罗:我自己本身是做白帽出身的,研究技术领域。我很了解白帽的想法,我的初衷是想让白帽这个群体走到阳光下。
现在很多外界的声音对白帽比较反感。第一是在没有授权的情况下,白帽凭什么来测一个企业的系统。第二是当白帽们去测这些系统并且提交漏洞时,比如他们发现了十个漏洞,但是只报出了七个,留下三个怎么办?企业没有相关的应对措施。第三个是万一白帽掌握了某个企业的数据,现在不公开,之后这个企业也不再关注相对应的这位白帽了,过段时间这位白帽公开了这个企业的数据应该怎么办?
其实这些问题是很容易解决好的,但是现在却演变成抵制,甚至现在很多人觉得白帽这帮群体就不应该存在。
我们换个方式来思考这个问题,传统的企业安全测试可能会找一些专家来做,可能要花费几十万甚至上百万,但是效果却不一定就很好,而且不可以按照效果来付费。但是白帽就不一样了,全都是按照效果来付费的。平台在中间是不赚钱的,我们漏洞银行这边其实真的没赚到多少钱。
企业花一笔预算放在这里,白帽提交漏洞,然后奖励白帽,我们来做企业和白帽之间的枢纽。我们想跟白帽以及企业形成一个良好的信息安全生态环境,在漏洞银行这个平台上是很规范的,是能走向阳光的。我也希望更多企业能够信任这群白帽,愿意跟他们一起合作,这就是我们一直在积极推进的事情。
安在:那你觉得一年下来达到你这种预期了么?
罗:我感觉达到了。虽然被黑,也挺无奈,但反过来想,知名度也起来了,也算是副产品吧。所以我们接下来是想把我们的产品和服务继续做好,我相信能够赢得大家的信任。因为我从小就是这样,很多人反对我做一件事情,反对了很多年,但是最后我还是做成功了,我一点都不畏惧反对的声音或者是被黑这件事,无所谓的。我也不会去很在意这方面。
![]()
安在:既然漏洞银行不赚钱,那么你的主营业务是什么?
罗:运营漏洞银行前的利物盛时代,我们主要以政府和运营商的网络安全定制化项目为主,正式运营漏洞银行后,结合过去在运营商、电商和政府项目上的积累和开拓,目前公司基本能够达到自负盈亏,当然我们目前正不断扩充新的产品线,新产品ADC主动防御私有云系统也已经推出了小规模的用户试用,这是一种基于特征的启发式应用安全风险控制系统,能够部署在用户系统内部持续的进行自学习和风险识别,帮助用户在第一时间发现和预警安全风险。
安在:漏洞银行对你现在主营业务有促进作用么?
罗:也不算是促进吧。我觉得我们给这个行业一种全新的尝试,提出了一种新的概念叫“联合诊断”。
之前很多平台做的事情就是把白帽和企业两者进行对接,但是这样的话,企业是没有审计能力的,因为甲方不知道安全技术是怎么样的,白帽做的这件事对他们来说完全是未知的,他们会恐惧,而我们引进了第三方,也就是一些安全专家。
白帽在测试企业漏洞的时候要先备案他自己的IP给企业,企业能够知道这些IP干了什么事情。我们会给企业有记录日志,可以从这些日志里找出这些白帽的行为轨迹。这样的话白帽干的所有事情都是可监控的。我们也就打造了一种很稳固的体系,这个体系会减少很多未知的恐惧。
第三方目前是我们漏洞银行的这些安全专家,我们其实只是做一个牵线搭桥的工作。我们会引入非常多的第三方的安全公司在漏洞银行这个平台。他们的专家都会有技术支持,比如一些安全服务我们提供不了,这些第三方安全公司都可以提供。
安在:这样一种全新的尝试的好处体现在哪里呢?
罗:企业有需求,发现问题,就需要去解决问题。解决问题需要安全产品,漏洞银行是集成,分包给各个安全公司去做,发挥各个平台的优势帮助企业解决安全问题。我们更多的是希望形成一个生态:企业、白帽、甲方均参与的模式,这种模式更多体现的是共同参与。
安在:安全公司有没有资格给白帽定级别?
罗:我们也在促成这件事,我个人觉得这是一个漫长的过程,过渡期。白帽给企业提供完服务之后,企业可以给白帽评价打分,白帽也可以给企业反馈,建立双方互评体系。第三方来监管白帽。未来会有网络上公认的网络专家帮白帽评级。
安在:目前漏洞银行这个平台的运营情况怎么样?
罗:现阶段运营情况可以。白帽可以把漏洞提交到我们这里来,企业也会主动联系我们,要求解决问题。目前注册白帽数量已经有一万多了。我们也有自己的白帽的发展方式:我们有自己的邀请信息,白帽提交完漏洞之后会有邀请码,这样可以去邀请其他白帽加入,类似于病毒传播的过程。但是这个邀请码如果七天不用就会过期了,过期之后就不能再使用了。这是白帽的一个权益。
我们现在在打造白帽机制:白帽工会,工会的福利各有特点,工会体系还在完善。因为很多白帽算是兼职人群,但是他们也有自己正当的权益,建立工会可以帮助白帽们争取正当的权益。
安在:你们这边的评级标准是按照什么来划分的呢?
罗:我们这边的评审体系跟高中低危体系完全不同。因为我们跟很多白帽接触之后,发现白帽们不认可原来的高、中、低危模式。因为有的时候,当他们发现一个技术含量很高,很有威胁的漏洞时,企业会觉得这个漏洞并没有威胁到他们的任何数据或者是应用系统,觉得这只是个低危漏洞。白帽就会觉得很不公平。
所以我们就把这两者分开来进行。技术评级,我们称作是A评级,企业的危险评级,我们称作是P评级,分为AP评级。我们率先使用了这种模式。这个模式会让白帽们觉得他们的技术得达到了认可,有被尊重的感觉。对于企业,根据本身这个漏洞的危害去评价,也会比较均衡一些。这个模式比原来的高中低危模式好很多。
安在:那你就还是一个漏洞平台,各种漏洞报到你这里,你再去跟企业联系?
罗:我们不是完全的互联网漏洞接收公司,就是在我们平台上授权过的企业我们才会去帮忙查找漏洞。只有注册过的企业,相关的漏洞才会报过来,因为他们是有相应得悬赏机制的。
安在:你说到平台上注册有一万多白帽,七百多家企业,那现在报漏的情况怎么样?
罗:报漏要看哪种,我们现在在平台上只会显示一些高危的漏洞。实际上大量的中低危漏洞我们也收到了很多。我们是分级别的,数量是不一样的。一个月大大小小大概会有两千个漏洞左右吧。
安在:平台上有没有很多突出的白帽? 他们的待遇怎么样?
罗:有啊,一些突出的白帽他们的待遇本来就很高。他们自己在现实生活中,可能就是网络安全专家等职位,利用兼职的时间来做一些事情,这样的人挺多的。
安在:怎么看外界对媒体报道你是“黑客世家”的戏谑?
罗:首先,我要说的是,“戏谑”这个词用的非常好,戏谑的本意就是指代一种诙谐的方式开了一个玩笑的意思,其实我在很多媒体采访的时候也曾讲过,家里的叔叔确实是一直从事安全的相关行业,并且也是我在安全行业的启蒙老师和引路人。在这里我也不是很方便讲出他的名字,还请谅解。
其次,如果一定要给我扣一个“世家”的名头。那么,我们可以看看现在国内的一些政治体制的导向,国人对互联网安全的意识已经到达了一个前所未有的层面。而互联网安全教育在我国的开展并不是十分的普遍。众所周知,现在有很多新闻报道“电信诈骗”,“信息泄露”等等。那么,我希望我的后辈也可以传承这个事业,因为毕竟,这个行业今后要走的路还很长,所以,与其说是世家,其实我更希望是一种传承。
![]()
安在:软银投资是真的吗?有多少?外界似乎觉得所说不实?
罗:我们2014年12月获得了软银中国500万美金的A轮融资,2015年5月11日注册了“bugbank.cn”这个域名开始做内测,平台取名叫漏洞银行也是受到软银名字(软件银行)的启发,2016年春节后正式对外运营漏洞银行。
安在:是否与乌云有所关联?比如漏洞库?
罗:我们与乌云并无关联,之前有人产生质疑的不是漏洞库,而是我们上线过一个叫“乌云文库”的栏目。当时乌云关闭后,行业里出现了不少“乌云镜像”网站提供乌云过去的漏洞信息和技术文章供白帽学习,不少白帽也向我们提出希望参考镜像网站,收录一些乌云上的技术文章供他们查询。我们初衷是方便白帽查阅学习乌云上的技术文章,所以上线了乌云文库栏目。但栏目刚在上线不到1天,我们便收到了乌云相关运营人员提出要求下线栏目的意见,出于对乌云的尊重,我们当天就选择将乌云文库栏目下线了。
安在:面对负面消息,漏洞银行做了哪些事情?
罗:首先还是要感谢圈内那么多朋友对漏洞银行的持续关注,负面消息其实对我们是一种监督和促进作用。一个平台在不断发展过程中,必定带有试错的过程,一方面是对市场的探索,一方面也是对自身业务的优化。这些试错带来的负面消息其实反而是有利于平台发展的。我们在得知这些负面消息以后,在第一时间建立了自身的反省和纠错机制,来不断优化和改进平台的规则和功能。这个过程中也有大量圈内白帽提出了宝贵的建议,比如宣传上的、机制上的、白帽监督上的等,这些建议其实对我们来说都非常受用,也非常感谢圈内铁粉朋友的支持和帮助。
人物视频
